セキュア ブートを無効にせずに通過するために、ライブ永続ディストリビューションにキーをロードできるかどうかお聞きしたいのですが。答えはおそらくノーだと思いますが、とにかく聞いてみたくなりました。
答え1
キーを何に使うのかは述べていませんが、Ubuntu ではドライバーを手動で署名するためにこれを定期的に行っています。私の BroadCom WiFi ドライバーはサードパーティ製で署名されていないため、新しいカーネルがインストールされるたびに次のスクリプトを使用します。
#!/bin/bash
if [ "$(whoami)" != "root" ]
then echo "wlsign: must be called from 'root'"
elif [ -z "$1" -o "$1" == "-c" ]
then
[ "$1" == "-c" ] && \
openssl req -new -x509 -newkey rsa:2048 -keyout wl.priv -outform DER -out wl.der -nodes -days 36500 -subj "/CN=BroadCom/"
/usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./wl.priv ./wl.der $(modinfo -n wl)
[ "$1" == "-c" ] && mokutil --import wl.der
[ "$1" == "-c" ] && echo Now reboot and select MOK install || modprobe wl
else
[ "$1" != "-h" ] && echo "wlsign: invalid options - $@"
echo 'wlsign [-c|-h] : signs proprietary Wireless kernel drivers'
echo ' -c : create new keys (default: use existing)'
echo ' -h : give this help information'
fi
この-cオプションは、最初にキー ファイルを作成するために 1 回だけ必要でした。使用後は、-cシステムを再起動して、新しいキーを UEFI ファームウェアに受け入れる必要があります。
他の署名されていないドライバー、特に VMware ドライバー用の同様のスクリプトがありますが、これらはオンザフライでコンパイルされるため、署名することはできません。
Kali と Ubuntu はどちらも Debian の派生なので、システム ディレクトリ構造が似ていることを期待します。プログラムはsign-fileカーネル ヘッダーにインストールされるため、カーネルにインストールする必要があります。には代替となるプログラムlinux-headers-*がありますが、試していません。kmodsign/usr/bin/
この情報をどこで見つけたのか思い出せないので、その情報源を明かすことはできません。