비활성화하지 않고 보안 부팅을 통과하기 위해 라이브 지속성 배포판에 키를 로드할 수 있는지 묻고 싶었습니다. 아마도 대답은 '아니요'일 것이라고 생각하지만 어쨌든 물어보고 싶었습니다.
답변1
키가 무엇인지 말하지 않았지만 Ubuntu에서는 드라이버에 수동으로 서명하기 위해 주기적으로 이 작업을 수행합니다. 내 BroadCom WiFi 드라이버는 타사이고 서명되지 않았으며 새 커널이 설치될 때마다 다음 스크립트를 사용합니다.
#!/bin/bash
if [ "$(whoami)" != "root" ]
then echo "wlsign: must be called from 'root'"
elif [ -z "$1" -o "$1" == "-c" ]
then
[ "$1" == "-c" ] && \
openssl req -new -x509 -newkey rsa:2048 -keyout wl.priv -outform DER -out wl.der -nodes -days 36500 -subj "/CN=BroadCom/"
/usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./wl.priv ./wl.der $(modinfo -n wl)
[ "$1" == "-c" ] && mokutil --import wl.der
[ "$1" == "-c" ] && echo Now reboot and select MOK install || modprobe wl
else
[ "$1" != "-h" ] && echo "wlsign: invalid options - $@"
echo 'wlsign [-c|-h] : signs proprietary Wireless kernel drivers'
echo ' -c : create new keys (default: use existing)'
echo ' -h : give this help information'
fi
-c처음에 키 파일을 생성하려면 이 옵션이 한 번만 필요했습니다 . 사용 후에는 -c시스템을 재부팅해야 하며 새 키가 UEFI 펌웨어에 적용됩니다.
서명되지 않은 다른 드라이버, 특히 즉석에서 컴파일되므로 서명할 수 없는 VMware 드라이버에 대해 유사한 스크립트가 있습니다.
Kali와 Ubuntu는 모두 데비안 파생물이므로 시스템 디렉터리 구조가 비슷하기를 바랍니다. 프로그램 은 sign-file커널 헤더에 설치되므로 linux-headers-*커널에 맞게 설치해야 합니다. kmodsign에는 대안이 될 수 있는 프로그램이 있지만 /usr/bin/시도해 보지 않았습니다.
이 정보를 어디서 찾았는지 기억이 나지 않아 출처를 밝힐 수 없습니다.