Secure Boot Key zur Live-Distro hinzufügen

Sie haben nicht gesagt, wofür Sie den Schlüssel benötigen, aber unter Ubuntu mache ich dies regelmäßig, um Treiber manuell zu signieren. Mein BroadCom WiFi-Treiber ist ein Drittanbieter und nicht signiert, und ich verwende das folgende Skript jedes Mal, wenn ein neuer Kernel installiert wird:-

#!/bin/bash
if [ "$(whoami)" != "root" ]
then echo "wlsign: must be called from 'root'"
elif [ -z "$1" -o "$1" == "-c" ]
then
     [ "$1" == "-c" ] && \
     openssl req -new -x509 -newkey rsa:2048 -keyout wl.priv -outform DER -out wl.der -nodes -days 36500 -subj "/CN=BroadCom/"
     /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./wl.priv ./wl.der $(modinfo -n wl)
     [ "$1" == "-c" ] && mokutil --import wl.der
     [ "$1" == "-c" ] && echo Now reboot and select MOK install || modprobe wl
else
     [ "$1" != "-h" ] && echo "wlsign: invalid options - $@"
     echo 'wlsign [-c|-h] : signs proprietary Wireless kernel drivers'
     echo '            -c : create new keys (default: use existing)'
     echo '            -h : give this help information'
fi

Ich habe die -cOption nur einmal benötigt, um die Schlüsseldateien initial zu erstellen. Nach der Verwendung -cmuss das System neugestartet und der neue Schlüssel in die UEFI-Firmware übernommen werden.

Ich habe ähnliche Skripte für andere nicht signierte Treiber, insbesondere die VMware-Treiber, die im laufenden Betrieb kompiliert werden und daher nie signiert werden können.

Da Kali und Ubuntu beide Debian-Derivate sind, hoffe ich, dass die Systemverzeichnisstrukturen ähnlich sind. Beachten Sie, dass das sign-fileProgramm in den Kernel-Headern installiert ist und daher linux-headers-*für Ihren Kernel installiert werden muss. Es gibt ein kmodsignProgramm in /usr/bin/, das eine Alternative sein könnte, aber ich habe es nicht ausprobiert.

Ich kann mich nicht erinnern, wo ich diese Informationen gefunden habe, daher kann ich ihre Quelle nicht angeben.