Как добавить открытый ключ в системную связку ключей для ядра без перекомпиляции?
Он должен работать, если вы измените права собственности и разрешения созданного вами узла устройства:
chown kalak:kalak node
chmod 600 node
(при условии, что ваше имя пользователя - kalak, ваша основная группа - kalak и ваш узел устройства называется node).
El conjunto de claves del sistema obtiene su contenido de cinco fuentes:
- claves incrustadas en el kernel en tiempo de compilación (obviamente no se pueden cambiar sin volver a compilar)
- Variable de arranque seguro UEFI
db-dependiendo de su firmware, es posible que pueda o no cambiar esto - Variable de arranque seguro UEFI
dbx-como la anterior, pero esta es una lista negra, por lo que no querrá agregar su clave aquí de todos modos - Las claves incrustadas en
shim.efi-no se pueden cambiar sin volver a compilar, y probablemente tendría que obtener el shim re -firmado después a menos que haya tomado el control de su arranque seguroPK= demasiada molestia - Variable UEFI
MOK(utilizada porshim.efi)-, esta podría ser su mejor esperanza.
Para importar su clave a MOK, primero debe asegurarse de que shim.efiesté involucrado en su proceso de arranque (consulteefibootmgr -v).
Luego tenga la clave/certificado con el que su módulo está firmado en formato DER e inicie el proceso de importación usando el comando mokutil:
mokutil --import your_signing_key.pub.der
El comando requerirá que configure una nueva contraseña de importación :esta contraseña se usará en el siguiente paso, y no es una contraseña anterior. Como es habitual al configurar una nueva contraseña, mokutilrequerirá que escriba esta contraseña dos veces.
Luego, la próxima vez que reinicie el sistema, shim.efiverá que una nueva clave MOK está lista para importar, y le pedirá que ingrese la contraseña de importación que configuró en el paso anterior. Una vez que haya hecho esto una vez, la nueva clave se almacenará en la variable UEFI MOK de forma persistente, y el núcleo la incluirá automáticamente en el conjunto de claves del sistema.
Si no está utilizando UEFI, no puede agregar nuevas claves al conjunto de claves del sistema sin volver a compilar el kernel. Pero, por otro lado, si el arranque seguro no está habilitado,el kernel permitirá la carga de módulos del kernel sin firma o con una firma no verificable -simplemente establece una de las banderas de corrupción del kernel para marcar que se ha cargado un módulo del kernel que no es de distribución -.