저는 최근 ASUS Z87-K 마더보드가 있는 맞춤형 데스크탑 PC에 Fedora 20을 설치했습니다. 일반적으로 알려진 몇 가지 버그를 고려하여 GeForce 630용 NVIDIA 독점 드라이버를 설치하고 nouveau 드라이버를 비활성화했습니다.
새로 생성된 키 쌍으로 모듈이 서명되는 동안 드라이버 설치를 올바르게 완료한 후 x.509 인증서가 생성되어 자동으로 다음 위치에 배치됩니다.
/usr/share/nvidia/certificate.der.
그러나 그 순간부터 UEFI 보안 부팅 옵션이 활성화된 상태에서는 컴퓨터를 부팅할 수 없습니다. 텍스트 모드로 전환하고 실행하면 nvidia-modprobeNVIDIA 독점 모듈이 로드되지 않은 것으로 나타났습니다.
UEFI 메뉴에서 보안 부팅을 비활성화하면 컴퓨터가 부팅되고 설치된 드라이버와 함께 원활하게 실행됩니다.
안전하지 않은 모드에서 부팅할 때 발생하는 단점을 피하기 위해 보안 부팅을 끌 필요가 없도록 커널에서 인식할 수 있도록 NVIDIA 모듈의 x.509 인증서를 어디에 배치해야 하는지 알고 싶습니다.
답변1
MokManager.efiShim에서 인식되어 커널에서 허용되도록 을 사용하여 인증서를 로드할 수 있어야 합니다 . Fedora가 사용자가 스스로 시작할 수 있도록 GRUB를 설정했는지는 모르겠습니다 MokManager.efi. 그렇지 않은 경우 EFI 셸을 사용하여 USB 플래시 드라이브를 부팅해 보십시오(보안 부팅을 비활성화한 상태에서).rEFInd.MokManager.efi그러면 인증서 파일을 시작하고 로드할 수 있습니다 . (유틸리티와 동일한 디스크에 저장해야 합니다 MokManager.efi. 아마도 /boot/efiFedora 내에서 저장해야 합니다.)
Linux 내에서 NVRAM에 인증서를 추가하여 Shim이 이를 알아채고 다음에 재부팅할 때 인증서를 사용해야 하는지 묻는 방법이 있다고 확신하지만 그것이 무엇인지 정확히 모르겠습니다. 아마도 디렉터리 트리의 어딘가에 파일을 쓰는 것이 포함될 것입니다 /sys/firmware/efi.
즉, 나는 내 컴퓨터에서 독점 비디오 드라이버를 사용하지 않기 때문에 이 특정 작업을 직접 수행할 필요가 없었습니다. 취해야 할 몇 가지 추가 단계가 있을 수 있습니다.
답변2
키를 등록하려면 mokutil을 사용하고 싶을 것입니다.
sudo mokutil --import <der file>
키가 등록되어 있는지 테스트할 수 있습니다.
mokutil --test-key <der file>