Додати безпечний ключ завантаження до Live Distro


0

Я хотів би запитати, чи можна було завантажити ключ в моєму дистрибутиві для постійного збереження, щоб пропустити Secure Boot без відключення? Я вважаю, що відповідь, ймовірно, ні, але мені хотілося просити.


Я роблю це весь час на Ubuntu, створюючи власні приватні ключі, зокрема, для драйверів VMware, які збираються під час виконання, і сторонні драйвери для мого інтерфейсу Broadcom WiFi.
AFH

Який ресурс ви використовуєте?
Kieran Ojakangas

Потрібно дати відповідь: занадто багато інформації для коментарів.
AFH

Відповіді:


1

Ви не сказали, що ви хочете ключ, але на Ubuntu я роблю це періодично, щоб підписати драйвери вручну. Мій драйвер BroadCom WiFi є стороннім і непідписаним, і я використовую наступний сценарій кожного разу, коли встановлюється нове ядро: -

#!/bin/bash
if [ "$(whoami)" != "root" ]
then echo "wlsign: must be called from 'root'"
elif [ -z "$1" -o "$1" == "-c" ]
then
     [ "$1" == "-c" ] && \
     openssl req -new -x509 -newkey rsa:2048 -keyout wl.priv -outform DER -out wl.der -nodes -days 36500 -subj "/CN=BroadCom/"
     /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./wl.priv ./wl.der $(modinfo -n wl)
     [ "$1" == "-c" ] && mokutil --import wl.der
     [ "$1" == "-c" ] && echo Now reboot and select MOK install || modprobe wl
else
     [ "$1" != "-h" ] && echo "wlsign: invalid options - $@"
     echo 'wlsign [-c|-h] : signs proprietary Wireless kernel drivers'
     echo '            -c : create new keys (default: use existing)'
     echo '            -h : give this help information'
fi

Мені потрібен -c лише один раз, щоб створити ключові файли спочатку. Після використання -c систему необхідно перезавантажити, а новий ключ прийняти в прошивку UEFI.

У мене є аналогічні сценарії для інших непідписаних драйверів, особливо драйверів VMware, які компілюються на льоту, тому їх не можна підписати.

Оскільки Kali і Ubuntu є похідними Debian, я сподіваюся, що структури системного каталогу подібні. Зверніть увагу, що sign-file програма встановлюється в заголовки ядра, так linux-headers-* потрібно встановити для вашого ядра. Є kmodsign програми в /usr/bin/, що може бути альтернативою, але я не пробував.

Я не пам'ятаю, де я знайшов цю інформацію, тому не можу визнати її джерело.


Привіт, спасибі за відповідь. Я хочу, щоб мій "швейцарський армійський ніж" використовувався в будь-якому місці. або. Я обов'язково дам спробу вашого сценарію - враховуючи, що це досить нова система наполегливості, мені дійсно нема чого втрачати.
Kieran Ojakangas

Таким чином, я отримав наступну помилку: "Не вдалося зареєструвати нові ключі" як при запуску mokutil - імпорт MOK.der з і без --root-pw. Що-небудь сказати про це? Здається, статті в Інтернеті вказують на те, що машина повинна бути вже в режимі безпечного завантаження, але я не можу завантажувати цей дистрибутив Live, не вимикаючи його в першу чергу.
Kieran Ojakangas

З mokutil додає дані до завантажувального коду UEFI, це має сенс, що ви повинні завантажуватися в режимі UEFI, оскільки безпечний завантаження недоступний у попередньому режимі. Чому ви використовуєте живу завантаження? Ця вимога звичайно стосується встановленої системи; інакше, де ви зберігаєте ключові файли? Якщо ви створюєте живий диск правильно, ви повинні мати можливість завантажуватися в режимі UEFI, що є необхідним для безпечного завантаження.
AFH

AFH, я кажу, що я завантажуюсь в режимі UEFI, але з Secure Boot вимкнено. Я повинен для того, щоб встановити ключі на моєму живуть OS. Це система збереження, тому я можу уявити, що я можу оновлювати ключі ... якщо це не дозволено на дистрибутивах у прямому ефірі навіть із завзятістю ...
Kieran Ojakangas

На жаль, я ніколи не використовував живу наполегливість, тому не знаю, що можливо. Як я бачу, щоб використовувати ваш завантажувальний диск на декількох системах, вам потрібно або створити USB, який буде працювати з безпечним завантаженням (див. sbsign ), у цьому випадку вам доведеться імпортувати будь-які клавіші, які ви створюєте, на кожну машину або жити з вимкненням безпечного завантаження. Хоча про ArchLinux, Ця стаття дає розумні уявлення про те, що залучено.
AFH
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.