Linux系统解决“Key was rejected by service”

原创 已于 2023-12-12 11:51:07 修改 · 5.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux运维 #Linux驱动 #Linux内核

于 2023-12-12 11:20:07 首次发布
本文详细描述了在Linux系统下加载驱动模块遇到签名错误的解决方法,包括关闭SecureBoot、构建签名环境、使用mokutil导入密钥并签名驱动,以USB转串口驱动CH340为例。

Linux系统下加载驱动模块出现如上错误提示的原因为:此驱动未经过签名。

方法一、关闭Secure Boot

如果是物理机,需要开机进入BIOS,找到“Secure Boot”的选项,然后关闭。

如果是虚拟机,可以打开虚拟设置,在如下选项中选择“”,如下所示:

方法二、构建签名环境

1、安装软件包mokuli 和shim-signed

sudo apt install mokutil
sudo apt install shim-signed
sudo update-secureboot-policy --new-key

2、创建一个公共/私有RSA密钥对来对内核模块进行签名。以下示例将密钥对存储在/root/module-signing/目录中

sudo -i
mkdir /root/module-signing
cd /root/module-signing
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=YOUR_NAME/"
chmod 600 MOK.priv

3、使用mokutil,一种导入或删除机器所有者密钥(MOK)的工具,导入公钥,然后在机器重新启动时注册它。此步骤中的密码需要记住,系统重启的时候需要输入。(删除公钥也需要此密码)

mokutil --import /root/module-signing/MOK.der
input password:
input password again:

注:如果执行此步骤遇到错误:EFI variables are not supported on this system,是因为此机器没有开启UEFI,如是物理机直接修改BIOS,如果是VMware虚拟机,则需要在虚拟机设置里开启。如下所示:

4、重新启动机器。当引导程序启动时,会看到一个屏幕,要求按下按钮进入MOK管理器EFI实用程序。请注意,在此步骤中,任何外部外部键盘都无法工作。在第一个菜单中选择Enroll MOK,然后继续,然后选择Yes以注册密钥,并重新输入步骤3中创建的密码。然后选择“确定”继续系统引导。

5、系统重启后,就可以使用公钥对目标驱动模块签名了,这里以USB转串口芯片CH340的Linux驱动模块ch341.ko为例,签名前的驱动模块信息:

使用如下命令对ch341.ko驱动文件签名:

1. sudo -i
2. /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 /root/module-signing/MOK.priv /root/module-signing/MOK.der ch341.ko

查看签名后的驱动模块信息:

当驱动模块信息中包含“Module signature appended”信息,则说明驱动已经签名成功了。此时再加载驱动就不会提示:“Key was rejected by service”。

注:如未来内核更新将需要再次对更新后的内核进行签名,因此可以将签名命令放入脚本中,该脚本可以在以后根据需要运行。

参考:virtualbox - How to sign a kernel module Ubuntu 18.04 - Super User

解决Ubuntu22.04.1上安装ch34x串口驱动Key was rejected by service 需要签名的问题
qq_28680277的博客
02-22 7372
解决Ubuntu22.04.1上安装ch34x串口驱动Key was rejected by service 需要签名的问题
linux kernel bug 导致无法载入 nvidia 驱动
卢克治-BJTU-NLP-的博客
06-26 3695
执行 nvidia-smi 显示: NVIDIA-SMI has failed because it couldn’t communicate with the NVIDIA driver. Make sure that the latest NVIDIA driver is installed and running.执行 sudo modprobe nvidia 显示 modprobe: ER...
Key was rejected by service解决方式
hydront的博客
04-21 8962
本例为vboxdrv,对其他模块可以通过修改最后边的ls $dirname(modinfo-n vboxdrv))/vbox*.ko)以获得完整功能。注意:它有时会要求你输入在第二步设置的密码的某一位,比如密码是12345678,就会让你输入第三位3,然后让你输入第2位2。注意:为了获更安全,可以将-nodes去掉,然后它会要求输入密码。在继续下一步之前,输入。它会要求你输入密码,输入的密码是只需要在下次重新启动时使用的一次性密码。,然后下个界面又回到最开始的界面,选择reboot,重新进入系统
微星MSIZ890-P Wi-Fi主板,原始固件,Ubuntu 安装完了驱动,开了secure boot,modprobe: ERROR: could not insert ‘nvidia_drm‘
最新发布
Mr_liu_666的博客
10-30 252
文章详细介绍了在开启Secure Boot的UEFI环境下,如何为NVIDIA内核模块(ko)手动签名以解决modprobe报错问题。首先需生成RSA密钥对,将公钥导入主板MOK/db信任列表。然后使用私钥对解压后的内核模块进行签名,再重新压缩为.zst格式。文中提供了自动化脚本sign-nvidia-zst,实现了模块解压、签名和重压缩的全流程。最终确保系统能通过Secure Boot验证,正常加载驱动模块,同时保持安全启动功能启用。该方法解决了预编译驱动与自定义内核的兼容性问题,适用于DKMS管
ubuntu系统安装nvidia驱动过程及可能问题
m0_51085115的博客
07-05 1930
原因:UbuntuKernel 使用 EFI_SECURE_BOOT_SIG_ENFORCE 内核配置。如果启用 UEFI Secure Boot(UEFI安全引导),会阻止加载未签名的第三方模块。也可以使用更方便的ubuntu dkms (Dynamic Kernel Module Support)。安装完成-> 给安装的run文件添加执行权限:chmod +x ./...run ,再执行。意思是安装的驱动是可用的,但是并未装载进linux内核。执行 ./*.run --no-x-check。
ERROR: could not insert module ch341.ko: Key was rejected by service
keyboard专栏
10-22 1794
出现 “” 错误,通常是由于启用了内核模块签名验证,而你尝试加载的模块没有被正确签名。Linux 内核从 4.4 版本开始对模块进行了签名验证以确保系统安全,特别是在使用安全启动(Secure Boot)时,内核会拒绝加载未签名或不受信任的模块。
insmod: ERROR: could not insert module ionXXX.ko: Key was rejected by service 怎么解决
u011895157的博客
07-16 614
网上有很多临时的方式, 比如用 mokutil. 因为我的开发板没法联网, 这个模块下载有一堆依赖, 我觉得太费时间. 索性就一步到位, 重新编译内核,关闭模块签名验证。问题是这样的, 我在 insmod 一个驱动的时候报了下面这个错误。看起来是在安装驱动的时候被内核给拒绝了, 应该是我的内核开启了。, 而我的模块没有签名或者说签名无效, 因此被内核给拒了。文件就可以看到所有安装的模块都是必须要有签名的。在把生成的deb配置到开发板上, 重启!然后 save 保存下来即可。进入之后, 按空格取消掉。
Linux 5.19.0版本加载自定义驱动的未签名问题
屁神 的博客
03-23 1253
Linux 5.19.0版本ubuntu在加载自定义驱动程序时报错:Key was rejected by service。找到刚才的私钥MOK.priv和MOK.der证书,写驱动名字。证书名字随便写。这里会提示输入口令,自己随便写。选择"Enroll MOK"选择"View key 0"选择"continue"选择"reboot"
xwb@xwb:~$ sudo modprobe nvidia modprobe: ERROR: could not insert 'nvidia': Key was rejected by service
06-26
在尝试加载 NVIDIA 驱动模块时,如果遇到 `modprobe` 报错:“Key was rejected by service”,这通常是由于 Linux 内核启用了模块签名验证机制,并且当前尝试加载的模块未被正确签名。这种情况在启用 Secure Boot ...
wzh@wzh-Y7000:serial$ sudo insmod ch34x.ko [sudo] wzh 的密码: insmod: ERROR: could not insert module ch34x.ko: Key was rejected by service
08-28
Linux系统中,使用`sudo insmod ch34x.ko`命令插入`ch34x.ko`模块时出现`Key was rejected by service`错误,通常是由于内核的安全机制(如Secure Boot)拒绝了未签名的内核模块。以下是一些解决方法: ### 临时...
LinuxLinux系统错误码errno详解
萧邯编程笔记
06-26 3751
在嵌入式Linux开发中,使用errno进行错误处理是非常常见和必要的。嵌入式系统通常需要处理各种硬件和软件的交互,错误处理和调试是确保系统稳定性和可靠性的关键部分。errno在嵌入式Linux开发中是一个重要的工具,通过合理使用errno,可以有效地捕获和处理各种错误情况,确保系统的稳定性和可靠性。在Linux系统中,errno是一个全局变量,用于表示最近一次系统调用或库函数调用出错时的错误码。每个错误码对应一个特定的错误类型。了解这些错误码有助于调试和处理错误情况。
精选资源
USB rtl8723du wifi驱动程序
07-10
这个驱动程序是为了解决Linux操作系统上,特别是内核版本为4.19时,rtl8723du无线网卡无法正常工作的兼容性问题。 Realtek rtl8723du是一款常见的无线网络接口控制器,广泛应用于笔记本电脑、路由器和USB适配器等...
linux insmod error -1 required key invalid
shenhuxi_yu的专栏
02-11 1168
Signed kernel module support From Gentoo Wiki Jump to: navigation, search Since Linux kernel version 3.7 onwards, support has been added for signed kernel modules. When enabled, the L
文件被数字签名策略拒绝(File was rejected by digital signature policy)
zhdd1234的专栏
04-16 2221
文件被数字签名策略拒绝(File was rejected by digital signature policy)
Linux操作系统错误代码解释
热门推荐
lalala323的博客
04-15 1万+
Linux操作系统错误代码解释 OS error code 0: Success 操作系统错误代码0:成功 OS error code 1: Operation not permitted 操作系统错误代码1:操作不允许 OS error code 2: No such file or directory 操作系统错误代码2:没有这样的文件或目录 OS error code 3: N...
Linux errno详解
Jayson 博客
08-19 2220
Linux系统调用的错误都存储于 errno中,errno由操作系统维护,存储就近发生的错误,即下一次的错误码会覆盖掉上一次的错误。 PS: 只有当系统调用或者调用lib函数时出错,才会置位errno! 查看系统中所有的errno所代表的含义,可以采用如下的代码: /* Function: obtain the errno string * char *strerror(int err...
【error】nvidia-smi无效的解决策略
在人工智能的道路上爬行
08-21 7069
更新软件之后,再调用nvidia-smi出现下面的问题。
key was rejected by service
03-22
### 密钥被服务拒绝的原因分析 当密钥被服务拒绝时,通常涉及以下几个可能原因: 1. **密钥格式不正确** 如果客户端发送的密钥不符合服务端预期的标准格式,则可能导致验证失败。例如,某些服务要求公钥采用 PEM 或 DER 格式[^1]。 2. **密钥过期或无效** 许多安全协议会对密钥设置有效期。如果密钥已超过其有效期限或者已被标记为无效状态,则会被拒绝访问。 3. **权限不足** 即使提供了有效的密钥,但如果该密钥对应的账户缺乏执行特定操作所需的权限,也会遭到拒绝。 4. **配置错误** 客户端与服务器之间的加密算法、哈希函数或其他安全性参数如果不匹配,也可能引发认证失败的情况。 以下是处理此类问题的一个通用方法实现示例: ```python import requests def check_key_rejection(api_url, headers): try: response = requests.get(api_url, headers=headers) if response.status_code == 401 or response.status_code == 403: error_message = f"The provided key might be invalid or expired: {response.text}" return {"status": "rejected", "message": error_message} elif response.status_code == 200: success_message = "Key accepted successfully." return {"status": "accepted", "message": success_message} else: other_error = f"Unexpected status code received: {response.status_code}" return {"status": "error", "message": other_error} except Exception as e: exception_info = str(e) return {"status": "exception", "message": exception_info} # Example usage api_endpoint = 'https://example.com/api/resource' auth_headers = {'Authorization': 'Bearer YOUR_ACCESS_TOKEN'} result = check_key_rejection(api_endpoint, auth_headers) print(result) ``` 上述脚本可用于测试 API 接口返回的状态码来判断是否存在因密钥问题而产生的拒绝情况,并提供相应的调试信息。 #### 解决方案建议 为了防止未来再次发生类似的密钥拒绝现象,可以采取如下措施: - 确认所使用的密钥是否仍然处于活动期内; - 验证当前环境下的所有依赖库版本号及其兼容性; - 对于生产环境中频繁调用的服务接口实施日志记录机制以便追踪异常行为模式;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PC技术小能手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值