Secure Boot 的Linux系统中添加模块

最新推荐文章于 2025-11-24 22:24:31 发布

原创

最新推荐文章于 2025-11-24 22:24:31 发布 · 396 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#linux #openssl #VirtualBox #driver

BIOS里开启了Secure Boot的Linux系统，加载第三方模块的时候，会被拒绝。这时候，就需要我们手动给模块签名，才能加载。

具体来说，分成三步：

生成证书
注册证书
签名模块

完成这些工作，需要使用openssl、mokutil、sign-file、xz等工具。

我们以VirtualBox的驱动模块vboxdrv.ko.xz为例。

生成证书

用openssl用于生成证书的命令如下：

openssl req -new -x509 -newkey rsa:2048 -keyout vbox.key -outform DER -out vbox.der -nodes -days 3650 -subj "/CN=vbox drivers"

之后，我们会得到vbox.key和vbox.der两个文件：vbox.key是私钥文件，vbox.der是DER格式的证书文件。

注册证书

现在我们使用mokutil工具把vbox.der文件注册到系统中。

执行：

sudo mokutil --import ./vbox.der
<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

码农不惑

关注关注

4
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Disable Secure Boot for NNM High Performance Mode--记如何在rhel8下关闭secure boot

kadwf123的专栏

01-19

3607

为 NNM 高性能模式禁用安全启动在某些版本的 Linux 上，操作系统具有安全启动选项，可防止程序加载内核模块。在某些版本中，例如 Red Hat Enterprise Linux 8，默认启用安全引导。如果您的 Linux 操作系统启用了 Secure Boot，则必须禁用 Secure Boot 模式才能在高性能模式下运行NNM 。笔记：SELinux 是一个 Linux 内核安全模块，具有防止程序加载内核模块的规则。NNM模块符合这些规则，因此即使您禁用安全启动，这些安全措施仍然适用于您..

linux secure boot(安全启动)下为内核模块签名

西京刀客

02-02

9449

从 UEFI 到 OS，再从 OS 到 driver，这是一条信任链，只有被已经在 UEFI 里注册过的 key 签名的驱动，才是可信的。除了 UEFI 出厂时由 vendor 设置的 key，我们还可以在后续的使用过程中自行添加（称为 “enroll”），其依据的原理大致是：既然都能够操作 UEFI 了，那该用户添加的 key 应该是可被信赖的。

参与评论您还未登录，请先登录后发表或查看评论

windows与ubuntu双系统切换Secure Boot解决

LJW77771127的博客

07-08

1710

windows与linux双系统切换 Secure Boot问题

如何在 Linux 系统启用 UEFI 的 Secure Boot

热门推荐

个人博客

09-02

3万+

如何在 Linux 系统启用 UEFI 的 Secure Boot概述Secure Boot 作为 UEFI 的一个选项，它可以被设置为开启或关闭 ( 有少数恶心的计算机里面， Secure Boot 被设置为开启，却不存在关闭它的选项，但系统主板内置有 Windows 系统的公钥证书签名，使其只能加载 Windows ，其他系统一律不以加载，用户没的选，不能关闭，还没法换系统，真的很恶心）。 Se

基于 NXP iMX8MM 测试 Secure Boot 功能

toradexsh的博客

04-25

1558

f). 需要注意的是由于Kernel阶段的Secure Boot相关认证和加载都是基于U-Boot命令行来实现的，因此如果要让这个启动机制更加安全可靠，则要让U-Boot保持在上述安全启动路径，而不能通过其他启动介质或者脚本来启动而绕开Secure Boot，比如Toradex U-Boot默认是使能Distro Boot功能的，可以自动扫描外设介质的启动脚本，那么这个功能就需要关闭掉，类似这样的U-Boot定制化和启动路径固化可以参考如下文章，本文不做具体测试。

Secureboot概念

叫好与叫座虽然不是对立面，但想在同一个作品中达到双重效果很难。

12-04

4178

最近在微信公众号接触到了一个Secureboot这个概念。什么是Secureboot？借用一句广告词：业务安全的基石是APP安全，APP安全的基石是操作系统安全，操作系统安全的基石是SecureBoot安全。Secure Boot是验证应用域内的一个/多个应用CPU子系统执行的一个/多个应用程序映像的完整性和真实性（多应用核和多内存段），验证策略由用户定义，包括：被验证的内容、验证方式、验证结果分析处理。是不是有点绕？来先看看背景：手机厂商建立了手机内部处理器与手机操作系统的绑定关系（也就是说**开启 S

如何在启用Secure Boot的Ubuntu 22.04电脑中安装使用VirtualBox 6.1

02-28

2423

我使用的是华为Matebook X Pro笔记本电脑，默认开启了UEFI安全引导（UEFI Secure Boot），安装了Windows和Ubuntu双操作系统，平时基本上都是使用Ubuntu 22.04（Linux Mint 21.3），使用上也没有碰到什么问题，最近因为要使用虚拟机，发现在Windows系统中可以正常使用Virtualbox，但无法在Ubuntu中使用VirtualBox软件，启动虚拟机就报错，错误跟Secure Boot相关，查询了一下资料，找到了解决办法。

Secure Boot下Ubuntu安装指南

百态老人的博客

05-25

1337

在VMware中安装Ubuntu时，若BIOS启用了Secure Boot，会阻止未签名的内核模块（如vmmon和vmnet）加载，导致虚拟机启动失败。解决方案包括临时禁用Secure Boot或手动签名VMware模块。后者需生成密钥对，通过MOK工具导入系统，并使用sign-file脚本签名模块。整个过程技术门槛较高，且需在每次模块更新后重复操作。对于高安全需求场景，建议保留Secure Boot但预先签名模块；普通用户可临时禁用Secure Boot完成安装。此外，需确保Ubuntu安装介质本身符合U

基于NXP iMX8测试Secure Boot功能部署

toradexsh的博客

08-30

1818

由于NXP从iMX8/iMX8x处理器开始引入了SCU/SECO等底层控制模块来进行包含启动管理等多项底层初始化功能，因此对于Secure Boot功能支持，也同样升级为Advanced High Assurance Boot (AHAB)特性来配合，以区别于iMX6/iMX8MM/iMX8MP处理器所使用的HABv4特性；AHAB和HABv4都是基于公共密钥加密(Public Key Cryptography)和数字签名(Digital Signature)技术来实现Secure Boot的...

在VMware虚拟机中安装Ubuntu时，Secure Boot（安全启动）的启用状态会直接影响虚拟机的运行

百态老人的博客

05-25

1166

启用Secure Boot对VMware虚拟机的安全性有显著的提升作用，能够有效防止恶意软件和未经授权的软件加载，从而提高系统的整体安全性。然而，启用过程中可能会遇到兼容性问题和性能开销，因此需要管理员仔细规划和管理。在VMware中使用KVM作为替代方案，可以显著降低许可证成本，同时提升性能和扩展性。KVM的优势在于其开源性、灵活性和强大的安全性，适合预算有限的企业和需要高性能虚拟化环境的场景。然而，KVM的学习曲线相对较高，需要管理员具备一定的Linux知识和管理经验。

rockchip-Secureboot+介绍

03-24

- Secureboot+ 可能涉及固件的多个分区，每个分区都有独立的密钥和签名，以增加安全性层次。 - 分区可能包括引导加载程序、操作系统内核、设备驱动程序和应用程序等。 6. **安全策略管理**： - Secureboot+ 允许...

Linux_14（多线程）线程控制+C++多线程

2401_87986548的博客

11-24

601

本文介绍了Linux线程控制的关键概念和操作。主要内容包括：1）线程创建（pthread_create）的参数和使用方法；2）线程结束的三种方式（pthread_exit、return和pthread_cancel）；3）线程等待（pthread_join）的必要性和实现机制；4）线程tid的本质是共享区TCB结构体地址；5）线程局部存储（__thread）实现线程独享全局变量；6）线程分离（pthread_detach）实现自动释放资源。文章还通过代码示例演示了C++多线程本质是对pthread的封装。这

【Linux】make 与 makefile 实现自动化构建

L_0907的博客

11-24

354

本篇文章主要介绍 Linux 中 make 工具与 makefile 来实现自动化构建

设计模式之原型模式在 C 语言中的应用（含 Linux 内核实例）

鹰之翔

11-24

原型模式是一种创建型设计模式，通过复制已有对象（原型）来创建新对象，避免重复初始化。C语言实现时，使用结构体封装原型对象，通过函数指针定义克隆接口，支持浅克隆和深克隆。示例1展示了用户对象的基础克隆，复制ID、姓名等属性。示例2演示了含动态内存属性的深克隆，确保复制指针指向的内容而非仅指针本身。原型模式适用于复杂对象初始化或批量创建相似对象场景，提高效率并保持一致性。关键点：原型模式解耦对象创建与实现 C语言通过结构体和函数指针实现区分浅克隆（基础属性）和深克隆（动态内存）适用于资源密集型对象的创

linux shell编程实战 10 Git工具详解与运维场景实战

qq_39241682的博客

11-24

247

Git是一款由Linus Torvalds（Linux内核创始人）开发的分布式版本控制系统，它的核心作用是追踪文件的修改历史，并允许开发者（或运维工程师）在不同版本间切换、合并修改、协作开发。对于「Linux shell编程与运维」课程来说，Git的价值体现在三个核心场景：

Linux（6）—— 理解进程（初识fork）

最新发布

2401_87687835的博客

11-24

558

在上一次的文章中，我们学习并理解了进程的概念。进程是一个已经加载到内存当中的程序，操作系统对内存进行组织管理本质上就是对PCB进行管理。PCB是一个结构体，结构体当中有进程的很的多属性信息。本文就在上次的基础上再来更加深入地了解进程。PCB在Linux中是叫做 task struct 的结构体，里面包含了进程的所有属性。task struct采用双向链表来进行管理。

Linux 软件包管理教程

2403_88102829的博客

11-24

347

Rocky Linux8 -YUM/DNF包管理列出所有启用的仓库列出所有仓库，包括禁用的配置仓库添加 EPEL 仓库启用或禁用仓库 dnf config-manager -- (disable/enable) repository-name软件包搜索和查询搜索软件包:查看软件包详细信息列出所有可安装的包:列出已安装的包:查找提供特定文件的包:查看包的依赖关系软件包安装安装单个软件包安装多个软件包从本地rpm文件安装重新安装软件包安装软件包组列出可用的组。

【Linux 网络基础】网络通信中的组播与广播：基础概念、原理、抓包与应用

love131452098的博客

11-24

525

摘要：组播（Multicast）和广播（Broadcast）是网络通信中两种重要的数据传输机制。组播面向特定订阅组（IPv4 224.0.0.0/4，IPv6 ff00::/8），通过IGMP/PIM协议实现成员管理和路由分发，适用于视频会议、股票行情推送等场景；广播则在同一二层域内泛洪（MAC ff:ff:ff:ff:ff:ff），用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control，并需注意TTL、防火墙策略。常见问题包括组播丢包（

linux下secure boot 如何设置

08-27

在Linux系统中启用和配置Secure Boot需要遵循一系列步骤，以确保系统在安全启动模式下正常运行。以下是一个详细的指南： ### 启用Secure Boot 1. **进入UEFI BIOS设置界面** 在系统启动时，按下相应的热键（通常是`F2`、`F12`、`Del`或`Esc`，具体取决于主板型号）进入UEFI BIOS设置界面。 2. **启用Secure Boot功能** 在BIOS设置界面中找到“Secure Boot”选项（通常位于“Security”或“Boot”标签页下），将其设置为“Enabled”。同时，确保系统的启动模式为UEFI而非Legacy BIOS模式[^2]。 3. **切换到Setup Mode** 在启用Secure Boot之前，某些Linux发行版要求系统处于“Setup Mode”。可以通过删除或清空所有现有的签名证书（PK、KEK、db等）来实现这一目标。这一步骤通常需要使用`MokManager`或通过BIOS界面手动清除证书。 ### 配置Secure Boot以支持Linux 1. **安装支持Secure Boot的Linux发行版** 确保所使用的Linux发行版支持Secure Boot。例如，Ubuntu、Fedora和SUSE等主流发行版均已提供对Secure Boot的良好支持。系统通常会使用一个由Microsoft签名的Shim程序来加载GRUB和内核[^3]。 2. **注册MOK（Machine Owner Key）** 如果需要加载未被签名的内核模块（如VirtualBox驱动），可以通过`shim-signed`包生成MOK密钥，并在系统启动时通过`MokManager`注册该密钥。具体操作如下： - 安装`shim-signed`和`mokutil`工具： ```bash sudo apt install shim-signed mokutil ``` - 生成MOK密钥并注册： ```bash sudo update-secureboot-policy --new-key ``` 系统会提示设置密码，重启后进入MOK管理界面并使用该密码完成密钥注册[^3]。 3. **验证Secure Boot状态** 重启系统后，可以通过以下命令检查Secure Boot是否已成功启用并配置： ```bash mokutil --test-key /var/lib/shim-signed/mok/MOK.der ``` 此外，还可以通过以下命令查看当前Secure Boot的状态： ```bash sudo mokutil --sb-state ``` ### 注意事项 - 在启用Secure Boot之前，确保所有必要的系统组件（如内核、引导程序和驱动模块）均已正确签名，否则可能导致系统无法启动。 - 如果系统无法正常启动，可以尝试通过BIOS界面或使用`MokManager`工具重新配置密钥策略。 - 对于虚拟机环境，确保虚拟机管理程序（如KVM或VirtualBox）支持Secure Boot，并在虚拟机设置中启用相关选项[^1]。 ---