Quería preguntar si era posible cargar una clave en mi distribución de persistencia en vivo para pasar el arranque seguro sin deshabilitarlo. Imagino que la respuesta probablemente sea no, pero de todos modos me apetecía preguntar.
Respuesta1
No has dicho para qué quieres la clave, pero en Ubuntu hago esto periódicamente para firmar los controladores manualmente. Mi controlador BroadCom WiFi es de terceros y no está firmado, y uso el siguiente script cada vez que se instala un nuevo kernel: –
#!/bin/bash
if [ "$(whoami)" != "root" ]
then echo "wlsign: must be called from 'root'"
elif [ -z "$1" -o "$1" == "-c" ]
then
[ "$1" == "-c" ] && \
openssl req -new -x509 -newkey rsa:2048 -keyout wl.priv -outform DER -out wl.der -nodes -days 36500 -subj "/CN=BroadCom/"
/usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./wl.priv ./wl.der $(modinfo -n wl)
[ "$1" == "-c" ] && mokutil --import wl.der
[ "$1" == "-c" ] && echo Now reboot and select MOK install || modprobe wl
else
[ "$1" != "-h" ] && echo "wlsign: invalid options - $@"
echo 'wlsign [-c|-h] : signs proprietary Wireless kernel drivers'
echo ' -c : create new keys (default: use existing)'
echo ' -h : give this help information'
fi
Necesitaba la -copción sólo una vez para crear los archivos clave inicialmente. Después de usarlo, -ces necesario reiniciar el sistema y aceptar la nueva clave en el firmware UEFI.
Tengo scripts similares para otros controladores sin firmar, especialmente los controladores de VMware, que se compilan sobre la marcha, por lo que nunca se pueden firmar.
Dado que Kali y Ubuntu son derivados de Debian, espero que las estructuras de directorios del sistema sean similares. Tenga en cuenta que el sign-fileprograma se instala en los encabezados del kernel, por lo que linux-headers-*deberá instalarlo para su kernel. Hay un kmodsignprograma en /usr/bin/, que puede ser una alternativa, pero no lo he probado.
No recuerdo dónde encontré esta información, por lo que no puedo reconocer su fuente.