linux secure boot(安全启动)下为内核模块签名

原创 已于 2023-02-02 17:56:30 修改 · 8.5k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全 #网络

于 2023-02-02 17:55:52 首次发布
文章介绍了Linux系统下SecureBoot的安全启动机制,它要求内核和驱动必须有数字签名。在UEFI环境中,未签名的驱动将无法加载。解决方案包括禁用SecureBoot或使用MOK(MachineOwnerKey)导入自签名证书。文章详细阐述了如何生成签名证书和私钥,导入BIOS以及为内核驱动签名的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

linux secure boot(安全启动)下为内核模块签名

背景

随着计算机性能和存储空间的提升,为了替代 BIOS,Intel 在 2000 年开发了了 EFI ,全称:Extensible Firmware Interface,即「可扩展固件接口」。随后,由业界多家著名公司共同成立统一可扩展固件接口论坛;将 EFI 统一化便形成了 「UEFI」:全称 Unified Extensible Firmware Interface,即「统一的可扩展固件接口」。它拥有图形化的界面、多样的操作方式以及允许植入硬件驱动等 BIOS 没有的特性,这些特性让 UEFI 相比于传统 BIOS 更加易用、更加多功能、更加方便。现在大部分的电脑默认都是使用 UEFI 的。

在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。

现在很多 OS 都是通过 UEFI 引导的,如果 UEFI 里使能了 secure boot,那么需要 Signed kernel image 才能加载,对应的 kernel module 也需要是签过名的。

SecureBoot 在你系统启动前会对内核等底层的东西进行签名验证。验证通过则继续启动,验证失败无法进去系统并弹出提示。

第三方内核模块,一般是后面才编译的,编译的时候不可能拿到ubuntu官方的私钥来做签名。这些不签名的驱动,在 secure boot 模式下,就会被内核拒绝加载了(当BIOS启用Secure Boot模式后,不带签名的驱动无法加载。)

思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块的签名了,要么就把自己使用的私钥对应的公钥加到UEFI的数据库里面去。bios可以自己配置或者MOK相关的工具可以修改UEFI的公钥数据库。

即便 UEFI 里没有使能 secure boot,但如果内核是按照 CONFIG_MODULE_SIG_FORCE 配置的(也可通过内核启动参数*”module.sig_enforce=1″* 打开),那么也只有签过名的驱动能加载。

如果内核只是设置了 CONFIG_MODULE_SIG,那么未签名的驱动虽可被加载,但会被标记为 taint。

Secure Boot安全启动开启关闭方法

Secure Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。也就是说只有通过公钥对应的私钥签名过的系统、软件才能够通过验证并正常启动,而未通过验证的程序则无法加载。在Win8发布时微软规定硬件厂商主板中必须开启Secure Boot,并内置其公钥文件,所以Win7和一些Linux版本只能通过关闭Secure Boot才能安装启动。

1、开机界面按del键进入BIOS,一般在"Security 安全”或者“Boot 启动"中找到“Secure Boot 安全启动”。

2、将“Secure Boot”选项切换成"Enabled"表示开启,"Disabled"则是关闭。

注意:大部分主板会同时兼容两种BIOS,分别是传统Legacy BIOS和新型UEFI BIOS,只有切换到仅有UEFI模式或关闭CSM双模式自动兼容功能才能正常使用Secure Boot功能。

内核驱动签名

从内核版本4.4.0-20开始,强制要求在启用安全启动的情况下不允许运行未签名的内核模块。 如果您想要保持安全启动并运行这些模块,那么下一个逻辑步骤是签署这些模块。

生成签名证书和私钥

做驱动签名首先依赖mokutil和shim-signed

sudo apt install mokutil
sudo apt install shim-signed

sudo update-secureboot-policy --new-key

生成的证书(MOK.der)和私钥(MOK.priv)位于 /var/lib/shim-signed/mok/ 目录下。

openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=Descriptive name/"

导入签名证书

导入签名证书:

sudo mokutil --import /var/lib/shim-signed/mok/MOK.der

导入时会提示输入password,随便指定就行,后面在BIOS导入的时候要用到。

BIOS(UEFI)导入证书(重要)

从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。除了 UEFI 出厂时由 vendor 设置的 key,我们还可以在后续的使用过程中自行添加(称为 “enroll”),其依据的原理大致是:既然都能够操作 UEFI 了,那该用户添加的 key 应该是可被信赖的。

重新启动后,UEFI将询问您是否要更改安全设置。选择”Yes”。
在这里插入图片描述在这里插入图片描述在这里插入图片描述
输入密码重启系统。

制作带签名的驱动

sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /path/to/module

/path/to/module 为你的驱动文件路径
例如:

sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n xxx)

modinfo命令用于显示kernel模块的信息。
modinfo -n 为驱动的文件路径。

参考

Linux安全启动内核签名(UEFI Linux Secure Boot Kernel Signing and Verification demo)
参考URL: https://www.bilibili.com/video/av838517397/

Secure Boot下Ubuntu安装指南
百态老人的博客
05-25 972
在VMware中安装Ubuntu时,若BIOS启用了Secure Boot,会阻止未签名内核模块(如vmmon和vmnet)加载,导致虚拟机启动失败。解决方案包括临时禁用Secure Boot或手动签名VMware模块。后者需生成密钥对,通过MOK工具导入系统,并使用sign-file脚本签名模块。整个过程技术门槛较高,且需在每次模块更新后重复操作。对于高安全需求场景,建议保留Secure Boot但预先签名模块;普通用户可临时禁用Secure Boot完成安装。此外,需确保Ubuntu安装介质本身符合U
Linux 内核签名签名内核模块)、linux 驱动签名
西京刀客
06-10 4757
一、Linux 内核签名 1. 什么是linux 内核签名 内核在模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块时内核会检查模块的签名, 如果签名不存在或者签名内容不一致,会强
linux 内核签名
qq_40227064的博客
04-28 4800
linux 驱动签名linux内核驱动安全机制
驱动开发:内核测试模式过DSE签名
热门推荐
优快云
10-22 1万+
该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段。在Windows操作系统中,为了保护系统安全性,有一个叫做驱动程序签名验证的机制,它的作用是验证驱动程序是否来自受信任的发行者(也就是签名)。置位,则在调试模式下就不会在验证签名了,省去了重复签名的麻烦。保护机制,DSE全称。
Linux 】内核签名签名内核模块)、linux 驱动签名、安装特定版本的 kernel-devel...
小鱼菜鸟的博客
07-22 882
Linux 内核签名 Linux 内核签名(签名内核模块)linux 驱动签名_西京刀客-优快云博客_linux内核签名 安装特定版本的 kernel-devel 两种方法。 一、yum 安装 查看内核版本 uname -r 查看目前已有的 kernel-devel uname -a ; rpm -qa kernel\*...
linux内核模块签名,如何签名内核模块Ubuntu 18.04
weixin_42395213的博客
04-30 2517
问题描述我是使用Ubuntu的新手。我正在尝试安装Genymotion,以便可以访问Android模拟器。为了使用Genymotion,需要我有VirtualBox。我已经安装了VirtualBox,但是好像我需要签署一个内核模块……我真的不确定如何去做。这是我在运行/sbin/vboxconfig后收到的错误消息:vboxdrv.sh: Stopping VirtualBox services....
在VMware虚拟机中安装Ubuntu时,Secure Boot安全启动)的启用状态会直接影响虚拟机的运行
最新发布
百态老人的博客
05-25 715
启用Secure Boot对VMware虚拟机的安全性有显著的提升作用,能够有效防止恶意软件和未经授权的软件加载,从而提高系统的整体安全性。然而,启用过程中可能会遇到兼容性问题和性能开销,因此需要管理员仔细规划和管理。在VMware中使用KVM作为替代方案,可以显著降低许可证成本,同时提升性能和扩展性。KVM的优势在于其开源性、灵活性和强大的安全性,适合预算有限的企业和需要高性能虚拟化环境的场景。然而,KVM的学习曲线相对较高,需要管理员具备一定的Linux知识和管理经验。
linux内核签名认证机制,centos内核编译与其签名机制
weixin_31022521的博客
04-29 1397
centos内核编译与其签名机制linux内核3.7引入的签名机制,极大地方便了对内核模块安全认证,同时也为操作系统厂家提供了IP保护的技术手段。不过,凡事有利也有弊。对刚刚接触具有签名机制的内核的工程师而言,需要一段理解并适应新内核的过程。为此,小编结合自己的工作经历,总结了一些要点和大家一起分享。1.什么是内核签名机制?内核签名就是内核利用公钥对驱动模块校验的过程,对检验通过的模块,准许加载...
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 952
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
rockchip-Secureboot+介绍
03-24
- 在遇到安全威胁或系统异常时,Secureboot+ 可以触发恢复机制,重新初始化系统或者启动安全恢复流程。 8. **与硬件集成**: - Secureboot+ 功能是硬件和软件的结合,利用硬件级的保护来增强安全性能。例如,安全...
linux 内核内核签名_24岁生日快乐,Linux内核
cuml0912的博客
06-12 299
linux 内核内核签名 您可以相信Linux已经庆祝了24年吗? 就是在1991年8月25日这一天,年轻的莱纳斯·托瓦尔兹(Linus Torvalds)在comp.os.minix新闻组上发表了他现在的传奇人物宣布 : 大家好,您都在使用minix- 我正在为386(486)AT克隆做一个(免费)操作系统(只是一个业余爱好,不会像gnu这样大而专业)。 自4月以来一直在酝酿中,并且...
Linux内核签名及校验机制全攻略
Linux内核研究者
11-21 2193
本文详细介绍了内核和模块签名的基本原理、工作流程、具体实现步骤,以及常见问题的解决方法。通过配置内核选项、生成和使用密钥对、签名和验证文件,可以有效增强系统的安全性和完整性。GRUB引导加载器的签名验证功能进一步确保了启动过程的安全
linux内核模块签名,linux内核模块签名
weixin_34802266的博客
04-30 1084
make binrpm-pkg 模块签名和debuginfo同时开启会出错模块签名是在mod_install的时候,但后续在find-debuginfo.sh中debugedit又会修改文件,导致前面的签名无效。可行改动方法为:在Makefile中将 mod_sign_cmd = perl $(srctree)/scripts/sign-file $(CONFIG_MODULE_SIG_HASH)...
Linux 】内核签名签名内核模块)、linux 驱动签名、安装特定版本的 kernel-devel
bandaoyu的note
08-31 1298
https://blog.youkuaiyun.com/inthat/article/details/117778263
内核驱动签名指南
05-08 1260
Vista Non-PnP Kernel-Mode Boot Driver签名指南 文章来自:维瑞网站 http://www.willrey.com/support/Digital_Signatures_for_Kernel.html Boot Start Driver 是指在操作系统启动时,就加载的驱动。由于系统刚刚启动,所以不会像加载其他PnP 类型驱动那样,用签名的Catal
linux内核签名认证机制,内核签名机制
weixin_39677538的博客
04-29 557
Signed kernel module supportFrom Gentoo WikiSince Linux kernel version 3.7 onwards, support has been added for signed kernel modules. When enabled, the Linux kernel will only load kernel modules that ...
Hyper-v 2016 Linux安全启动
weixin_33909059的博客
12-21 220
Hyper-v 2016 Linux安全启动Windows Server 2016中的安全启动是一个很好的系统设计,用以确保操作系统的加载工具没有被篡改。对于防止计算机启动进入操作系统之前被恶意代码被注入,安全启动可以是一个很好的防御措施。安全的引导结合UEFI的加密功能增强引导和处理能力。加密密钥存储在固件。当UEFI要求启动一个操作系统加载程序时,它可以检查操作系统加载程序的加密签名,如果有的...
关闭Secure Boot安全启动) 为什么要关闭
03-04
<think>好的,用户问为什么要关闭Secure Boot安全启动)。首先,我得回忆一下Secure Boot的作用。它是UEFI固件的一个功能,用来确保启动过程中加载的软件是经过数字签名的,防止恶意软件在启动时加载。这对于Windows系统来说确实提高了安全性。 但用户的问题是在安装Ubuntu时要关闭Secure Boot,所以需要解释为什么Ubuntu安装需要这么做。首先,Ubuntu本身是支持Secure Boot的,因为Canonical有注册他们的引导加载程序的签名。那为什么有些情况下需要关闭呢? 可能的原因有几个:一是用户可能使用第三方或未经签名的驱动或内核模块,这些在Secure Boot启用时无法加载。比如某些无线网卡或显卡的专有驱动。二是如果用户使用的引导加载器(如GRUB)没有正确签名,或者安装的第三方操作系统没有注册签名Secure Boot会阻止启动。 另外,有些教程可能过时,或者用户遇到特定硬件兼容性问题,可能需要关闭Secure Boot才能继续安装。例如,某些Dell机型可能有特定的硬件配置,导致Ubuntu的默认签名驱动无法正确加载,从而需要禁用Secure Boot。 用户可能还担心关闭Secure Boot是否安全。需要解释在安装Linux时暂时关闭是常见的做法,安装完成后可以重新启用,只要所有组件都支持。但有时保持关闭可能更方便,尤其是使用自定义内核或驱动时。 还需要考虑用户的技术水平,他们可能对Secure Boot不太了解,担心关闭后的安全风险。需要简明扼要地说明利弊,以及为什么在安装Ubuntu时需要这样做。可能还要提到,虽然Ubuntu官方支持Secure Boot,但某些情况下关闭可以避免安装过程中的潜在问题。 最后,总结关键点:兼容性、驱动支持、第三方软件,以及安装后的重新启用可能性。确保回答清晰,帮助用户理解背后的原因,而不仅仅是步骤。</think>以下是关于关闭Secure Boot的详细说明: --- ### 一、Secure Boot的核心作用 $$ \text{安全启动} = \text{UEFI固件} + \text{数字签名验证} $$ 1. **设计原理** - 只允许加载经微软认证的启动程序 - 阻止未签名内核/驱动加载(如`恶意引导程序`) 2. **Windows环境优势** - 防御`Rootkit`等底层攻击 - 确保系统启动链完整性 --- ### 二、关闭Secure Boot的三大原因 #### 1. Linux兼容性问题 | 开启Secure Boot | 关闭Secure Boot | |----------------|----------------| | 仅支持带微软签名的发行版(Ubuntu已注册) | 允许加载任意开源驱动 | | 无法安装第三方内核模块(如NVIDIA驱动) | 支持自定义内核修改 | - **典型案例** ```bash # 安装NVIDIA驱动时可能出现的错误 ERROR: Unable to load the 'nvidia-drm' kernel module ``` #### 2. 硬件驱动限制 - 部分无线网卡(如Broadcom BCM43xx系列) - 老旧打印机/扫描仪驱动 - 虚拟机增强工具(VirtualBox Guest Additions) #### 3. 特殊安装需求 - 使用`LUKS`全盘加密时需要关闭 - 安装非主流Linux发行版(如Arch Linux) - 需要加载`DKMS`编译的内核模块 --- ### 三、安全风险对比 | 安全级别 | 开启Secure Boot | 关闭Secure Boot | |--------|----------------|----------------| | 启动防护 | ✔️ 阻止未签名代码 | ❌ 可能被恶意引导程序攻击 | | 运行防护 | ❌ 不影响系统运行时安全 | ✔️ 依赖系统防火墙和杀毒软件 | > **注意**:关闭Secure Boot后仍可通过以下方式提升安全性: > ```bash > sudo apt install apparmor ufw > ``` --- ### 四、Dell电脑的特殊情况 1. **企业级机型**(如Latitude系列) - 默认开启Intel Boot Guard - 关闭Secure Boot仍需硬件级验证 2. **推荐操作流程** ```mermaid graph LR A[进入BIOS] --> B[关闭Secure Boot] B --> C[安装Ubuntu] C --> D{需要微软认证?} D -->|是| E[重开Secure Boot] D -->|否| F[保持关闭] ``` --- ### 五、最佳实践建议 1. **安装完成后可重新开启**(Ubuntu 22.04已支持Secure Boot) 2. **驱动安装优先方案**: - 使用`ubuntu-restricted-extras`软件包 - 选择带`Signed Drivers`标识的驱动 3. **企业用户替代方案**: ```bash # 导入自定义密钥 sudo mokutil --import /path/to/key.der ``` > **提示**:通过`mokutil --sb-state`命令可随时查看Secure Boot状态
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西京刀客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值