Como adicionar um par de chaves (público e privado) à lista de banco de dados do kernel que contém uma lista de chaves confiáveis

Question

Como adicionar um par de chaves (público e privado) à lista de banco de dados do kernel que contém uma lista de chaves confiáveis

#1 resposta do (2 votos)

1

Acabei de instalar o driver Nvidia no Ubuntu. O instalador da Nvidia criou um par de chaves e assinou o módulo com ele. Agora ele diz que eu deveria adicionar este par de chaves à lista de chaves confiáveis dos kernels para poder usar o módulo. Eu pesquisei mas não consegui encontrar nenhuma solução para isso, já que não sou um usuário especialista em Linux.

Agradeço sua ajuda.

(usando o lubuntu 16.10)

kernel kernel-modules

por Mehrdad Salimi 07.06.2017 / 22:42

1 resposta

Tags kernel kernel-modules

Como eu uso um terminal serial com um servidor FreeBSD? Por que não consigo enviar seqüências de escape do teclado, mas posso fazê-lo de outro tty?

score 2 · Answer 1

Aqui encontrei a solução.

link

Se o seu par de chaves for criado, então:

(A instrução é para RedHat, mas funcionou bem no Lubuntu e provavelmente funcionará para o Ubuntu também)

O recurso MOK (Machine Owner Key) é um recurso suportado pelo Red Hat Enterprise Linux 7 e pode ser usado para aumentar o banco de dados de chaves de inicialização segura da UEFI. Quando o Red Hat Enterprise Linux 7 inicializa em um sistema com UEFI com Secure Boot ativado, as chaves na lista MOK também são adicionadas ao conjunto de chaves do sistema, além das chaves do banco de dados de chaves. As chaves da lista MOK também são armazenadas de forma persistente e segura da mesma forma que as chaves do banco de dados de chaves de Inicialização Segura, mas estas são duas instalações separadas. O recurso MOK é suportado por shim.efi, MokManager.efi, grubx64.efi e pelo utilitário mokutil do Red Hat Enterprise Linux 7.

A principal capacidade oferecida pelo recurso MOK é a capacidade de adicionar chaves públicas à lista MOK sem precisar ter o chaveiro de volta para outra chave que já esteja no banco de dados KEK. No entanto, a inscrição de uma chave MOK requer interação manual por um usuário fisicamente presente no console do sistema UEFI em cada sistema de destino. No entanto, o recurso MOK fornece um método excelente para testar pares de chaves recém-gerados e testar módulos do kernel assinados com eles.

Siga estas etapas para adicionar sua chave pública à lista MOK:

Solicite a adição de sua chave pública à lista MOK usando um utilitário userspace do Red Hat Enterprise Linux 7:

~]# mokutil --import my_signing_key_pub.der

Ser-lhe-á pedido para introduzir e confirmar uma senha para este pedido de inscrição no MOK.

Reinicie a máquina.
A requisição de inscrição de chave MOK pendente será notada por shim.efi e ela iniciará o MokManager.efi para permitir que você complete a inscrição no console UEFI. Você precisará inserir a senha anteriormente associada a essa solicitação e confirmar a inscrição. Sua chave pública é adicionada à lista MOK, que é persistente.

Quando uma chave estiver na lista MOK, ela será automaticamente propagada para o anel de chaves do sistema nesta inicialização e subsequentes quando o UEFI Secure Boot estiver ativado.