sbsign: подписать ядро без EFI
Следующая ссылка объясняет, как подписать модуль ядра: https://ubuntu.com/blog/how-to-sign-things-for-secure-boot
sbsign --key MOK.priv --cert MOK.pem my_binary.efi --output my_binary. efi.signed
Как я могу подписать образ ядра без EFI (например, bzImage)?
Спасибо, Цвика
0
задан Zvi Vered
11 November 2019 в 13:44
поделиться
1 ответ
sbsign и pesign могут подписывать только двоичные файлы в формате PE — формате, который используют UEFI и Windows. Если вы хотите подписать что-то, что не является двоичным файлом PE, вам нужен другой инструмент.
Если вы хотите подписать модуль ядра, вы можете использовать добавленную подпись - sign-file и kmodsign. (Но система DKMS может сделать все это за вас гораздо проще!)
Если вы хотите подписать собственное ядро, у вас есть несколько вариантов:
- соберите ядро как двоичный файл EFI и используйте
sbsignилипезнак. Для этого есть параметры конфигурации ядра. - использовать какой-либо другой механизм для защиты шага от Grub к ядру, например, поддержку отсоединенной подписи Grub. Обратите внимание, что для этого вам потребуется создать свой собственный grub и подписать его таким образом, который принимает прокладка (или ваша прошивка UEFI).
0
ответ дан dja
14 August 2020 в 15:35
поделиться