Следующая ссылка объясняет, как подписать модуль ядра: https://ubuntu.com/blog/how-to-sign-things-for-secure-boot
sbsign --key MOK.priv --cert MOK.pem my_binary.efi --output my_binary. efi.signed
Как я могу подписать образ ядра без EFI (например, bzImage)?
Спасибо, Цвика
sbsign
и pesign
могут подписывать только двоичные файлы в формате PE — формате, который используют UEFI и Windows. Если вы хотите подписать что-то, что не является двоичным файлом PE, вам нужен другой инструмент.
Если вы хотите подписать модуль ядра, вы можете использовать добавленную подпись - sign-file
и kmodsign
. (Но система DKMS может сделать все это за вас гораздо проще!)
Если вы хотите подписать собственное ядро, у вас есть несколько вариантов:
sbsign
или пезнак
. Для этого есть параметры конфигурации ядра.