内核签名

最新推荐文章于 2025-03-16 08:46:30 发布
原创 最新推荐文章于 2025-03-16 08:46:30 发布 · 2.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核驱动 #模块签名

1)对于我们自己写的驱动程序,dmesg中有类似于:

itx3010_J45: module verification failed: signature and/or required key missing - tainting kernel (我们写的驱动)

是因为3.7以后的内核添加内核签名机制, 当CONFIG_MODULE_SIG_FORCE=y时,内核将只加载带有公钥的合法签名模块,

现在只能自己往.ko里添加签名了,在fedora 21(4.1.13)上添加模块的签名如下(具体可参考内核下的文档 Documentation/module-signing.txt):

http://192.168.5.253/chentianbao/J1900_Linux_Development_Problem_Sets/uploads/2d71e821e09bd7838b79fd2775fb0713/image.png

查得 系统中的 私钥文件名为 signing_key.priv,公钥文件名为 signing_key.x509
在linux内核目录下执行
./scripts/sign-file sha512 signing_key.priv signing_key.x509 /xxx/xxx.ko
运行一次即可,系统重启之后便不会有该问题。

对于ubuntu16.04(内核 4.10.0),签名如下:
在内核目录下:
./scripts/sign-file sha512 ./certs/signing_key.pem./certs/signing_key.x509 /ur_path/xxx.ko
参考文档 kernel_path/Documentation/admin-guide/module-signing.rst

 

insmod 签名引发的问题
YW
03-08 1万+
  insmod 添加.ko时  dmesg  (1)发现 hello: module verification failed: signature and/or required key missing - tainting kernel自3.7内核以后有了内核签名机制。我的.config是这样CONFIG_MODULE_SIG=y# CONFIG_MODULE_SIG_FORCE is not...
linux内核模块签名,linux内核模块签名
weixin_29982199的博客
04-30 2194
linux内核模块签名内核模块模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。公钥生成内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配置。Makefile会根...
linux 内核签名
qq_40227064的博客
04-28 4853
linux 驱动签名,linux内核驱动安全机制
insmod安装内核module,提示Required key not available
热门推荐
hui872370036的专栏
04-10 1万+
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核
内核签名机制
makeyourprogress的博客
06-30 751
Signed kernel module support From Gentoo Wiki Jump to: navigation, search Since Linux kernel version 3.7 onwards, support has been added for signed kernel modules. When enabled, the linux ker
linux secure boot(安全启动)下为内核模块签名
dzqxwzoe的博客
02-27 1787
Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名驱动,才是可信的。在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块签名了,
linux内核签名认证机制,centos内核编译与其签名机制
weixin_31022521的博客
04-29 1409
centos内核编译与其签名机制linux内核3.7引入的签名机制,极大地方便了对内核模块的安全认证,同时也为操作系统厂家提供了IP保护的技术手段。不过,凡事有利也有弊。对刚刚接触具有签名机制的内核的工程师而言,需要一段理解并适应新内核的过程。为此,小编结合自己的工作经历,总结了一些要点和大家一起分享。1.什么是内核签名机制?内核签名就是内核利用公钥对驱动模块校验的过程,对检验通过的模块,准许加载...
Linux 内核签名签名内核模块)、linux 驱动签名
西京刀客
06-10 4805
一、Linux 内核签名 1. 什么是linux 内核签名 内核模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块内核会检查模块签名, 如果签名不存在或者签名内容不一致,会强
OPPOAce2一键root工具内核签名校验过了可刷驱动
04-30
1. 本一键root工具仅供个人学习和研究使用,请勿用于非法用途或未经授权的设备上。 2. 使用本一键root工具可能会影响设备的安全性和稳定性,用户应自行承担风险。 3. 本工具不对用户使用该工具所导致的设备损坏、...
NVIDIA 显卡驱动 TLinux 签名内核
10-06
NVIDIA 显卡驱动 TLinux 签名内核,下载 NVIDIA-Linux-x86_64-418.87.00/kernel 下内核模块文件nvidia-uvm.ko 和 nvidia.ko 之后再将这两个文件下载拷贝到相应的文件夹,depmod更新模块依赖
拯救者电竞手机Pro13.5.351一键ROOT工具 面具版本为德尔塔Delta27.1 内核签名已过,投币再领取,大佬们
05-08
拯救者电竞手机Pro13.5.351一键ROOT工具 面具版本为德尔塔Delta27.1。内核签名已过,投币再领取,大佬们
Linux内核签名及校验机制全攻略
Linux内核研究者
11-21 2364
本文详细介绍了内核模块签名的基本原理、工作流程、具体实现步骤,以及常见问题的解决方法。通过配置内核选项、生成和使用密钥对、签名和验证文件,可以有效增强系统的安全性和完整性。GRUB引导加载器的签名验证功能进一步确保了启动过程的安全。
内核模块签名验证
lyndon
11-27 869
内核模块签名验证受 CONFIG_MODULE_SIG 内核编译选项控制
Signed kernel module support
01-21 2252
Since Linux kernel version 3.7 onwards, support has been added for signed kernel modules. When enabled, the Linux kernel will only load kernel modules that are digitally signed with the proper key. Th
驱动开发:内核测试模式过DSE签名
优快云
10-22 1万+
该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段。在Windows操作系统中,为了保护系统安全性,有一个叫做驱动程序签名验证的机制,它的作用是验证驱动程序是否来自受信任的发行者(也就是签名)。置位,则在调试模式下就不会在验证签名了,省去了重复签名的麻烦。保护机制,DSE全称。
Linux 内核模块签名
weixin_41028621的博客
03-16 1289
该选项为内核强制验证功能在策略上提供了一定的灵活性,比如运行系统需要DKMS或者SystemTap支持的话,如果没有实现配套的PKI签名服务机制,最好将CONFIG_MODULE_SIG_FORCE设为n,同时为了保证安全在内核命令行参数中指定module.sig_enforce。如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块内核会检查模块签名, 如果签名不存在或者签名内容不一致,会强制退出模块的加载。,以验证内核模块签名
linux 内核内核签名_什么是Linux内核,它做什么?
cumai3211的博客
10-06 714
linux 内核内核签名 With over 13 million lines of code, the Linux kernel is one of the largest open source projects in the world, but what is a kernel and what is it used for? Linux内核拥有超过1300万行代码,是世界上最大的开源项目...
Kernel,内核模块签名机制、CONFIG_MODULE_SIG
mzhan017的博客
10-03 1443
内核模块签名机制
基于内核秘钥保留服务的ELF文件签名程序和验签模块
qq_42584874的博客
03-21 2255
基于内核秘钥保留服务的ELF文件签名程序和验签模块 解决方案的核心思想是,以 二进制文件处理程序 的形式,实现一个 ELF 签名验证模块 (binfmt_elf_signature_verification),并将该模块注册到链表中 ELF 处理模块 (binfmt_elf) 之前。在该模块中,实现签名验证的逻辑。如果签名验证通过,则返回 -ENOEXEC 错误码,使得内核能够继续遍历链表,直到调用真正的 ELF 处理模块;如果签名验证不通过,则直接返回其它错误码,使得内核不再继续调用真正的 ELF 处理模
vmrc怎么解决内核签名失败
最新发布
03-22
<think>好的,我现在需要帮助用户解决VMRC内核模块签名验证导致的加载失败问题。首先,我得理解用户的问题。他们遇到了内核模块签名验证失败,导致无法加载VMRC模块。这可能是因为模块没有正确签名,或者系统启用了安全启动,而模块签名不被信任。 接下来,我应该回忆之前学过的相关知识。内核模块在加载时,尤其是当系统启用了Secure Boot(安全启动)的情况下,必须要有有效的数字签名,否则会被拒绝加载。VMRC(VMware Remote Console)可能依赖某些内核模块,如果这些模块没有正确签名,或者签名不被系统信任,就会出现问题。 用户提供的引用中提到过修复配置错误后使用service命令重启hostd,这可能与VMware服务有关。但当前问题是签名失败,可能需要检查签名状态和Secure Boot的设置。 可能的解决步骤包括: 1. 检查系统是否启用了Secure Boot。如果启用了,可能需要禁用,或者安装已签名模块。 2. 确认内核模块签名状态,查看是否有错误信息。 3. 如果模块签名,可能需要重新生成签名,或者获取官方已签名的版本。 4. 更新VMware相关组件,确保使用最新版本,可能已经修复了签名问题。 5. 临时禁用签名验证(不推荐,但可能作为测试步骤)。 然后,我需要验证这些步骤的可行性。例如,禁用Secure Boot需要进入BIOS/UEFI设置,这对用户来说可能有一定难度,但可以指导他们操作。另外,重新生成签名需要用到签名工具和证书,普通用户可能没有,因此可能需要联系VMware支持或使用官方提供的解决方案。 还要考虑用户的技术水平,步骤需要详细但不过于复杂。例如,检查Secure Boot状态可以通过命令`mokutil --sb-state`,然后根据结果决定下一步。如果Secure Boot已启用,可能需要加载自定义密钥或禁用它。 另外,用户提到的引用[1]中的解决方法是重启hostd服务,但当前问题不同,可能需要不同的方法。不过,确保VMware服务配置正确也很重要,比如重新安装或更新VMRC组件。 可能的解决方案步骤: 1. 检查Secure Boot状态。 2. 如果启用,尝试禁用或安装签名证书。 3. 重新安装或更新VMware工具/VMRC。 4. 手动签名内核模块并注册。 5. 重启相关服务。 需要确认这些步骤的顺序是否合理,以及是否存在潜在风险。例如,禁用Secure Boot可能会影响系统安全性,但可以临时解决问题。手动签名模块需要用户拥有有效的签名证书,这可能仅适用于开发者或企业环境。 最后,生成相关问题时要围绕内核模块签名、Secure Boot的影响、VMware工具故障排除等方面,帮助用户扩展了解可能相关的其他问题。</think>### 解决方案:修复VMRC内核模块签名验证失败问题 1. **检查Secure Boot状态** - 若系统启用Secure Boot(常见于UEFI模式),会强制验证内核模块签名。执行命令查看状态: ```bash mokutil --sb-state ``` - 如果显示`SecureBoot enabled`,需禁用Secure Boot或安装有效签名[^1]。 - **禁用Secure Boot**: 重启进入BIOS/UEFI设置,找到`Secure Boot`选项并关闭(具体路径因主板厂商而异)。 2. **重新安装/更新VMRC组件** - 从VMware官网下载最新版VMRC或VMware Tools,旧版本可能未适配当前内核签名策略: ```bash sudo vmware-installer -u vmware-vmrc # 卸载旧版本 sudo ./VMware-VMRC.bundle # 安装新版本 ``` 3. **手动签名内核模块(高级)** - 若需保留Secure Boot,需为模块生成签名并注册到系统: ```bash # 生成密钥对(需提前安装openssl和mokutil) openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=CustomKey/" # 注册公钥到系统 sudo mokutil --import MOK.der # 签名模块(以vmnet为例) sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 MOK.priv MOK.der $(modinfo -n vmnet) ``` - 重启后根据提示完成密钥注册。 4. **重启相关服务** ```bash sudo systemctl restart vmware.service # 重启VMware服务 sudo modprobe vmnet # 重新加载内核模块 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值