在Fedora中全自动签名英伟达驱动内核模块以支持安全启动(Secure Boot)

已于 2022-11-12 11:13:05 修改
阅读量2.9k 收藏 9
点赞数 7
分类专栏: Fedora 文章标签: linux
于 2022-04-09 23:30:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1240193326/article/details/124068488
版权

目录

前言

目前新出厂的电脑UEFI会默认开启安全启动(Secure Boot),以阻止不受信任的引导加载程序启动,可以在一定程度上防御RootKit病毒,不过同样会阻止一些未经微软签名的Linux发行版的安装和运行,比如Arch Linux。虽然可以直接选择在主板设置中关闭安全启动来解决一系列麻烦,但就在近期微软公布的Windows11最低硬件标准中可以看到,安全启动被微软看的越来越重。所以掌握让自己常用的Linux发行版支持安全启动的方法是有必要的。然而,让Linux本身支持安全启动,最重要的是让发行商对该Linux的内核与引导加载器进行签名。本文就已经通过安全启动认证的比较受欢迎的一个Linux发行版——Fedora,来讲解常见的英伟达驱动签名问题。

至于为什么有这个教程,是因为如果在Fedora上通过自带软件源一键安装官方的英伟达驱动,会造成这些驱动的内核模块未签名,导致在Linux启动过程中因为安全启动校验签名的存在,被阻止加载这些模块,进而无法正常驱动显卡。用过Ubuntu的伙伴们应该知道,在安全启动开启的情况下 ,Ubuntu安装程序会自动用自签密钥签名英伟达驱动内核模块,并在开机过程中自动将该自签密钥导入MOK List(安全启动机器主人信任密钥列表)。而Fedora只会保证自身内核签名有效,对后期安装的第三方内核模块签名问题不予理会,导致无法正常加载英伟达驱动。

本教程参考这里并实现,感谢该博客作者
本教程已在Fedora 36 Beta版本上测试通过,理论上向下兼容,具体是否有效请自测。注意备份重要数据!笔者仅为分享经验,不对您的任何操作造成的任何后果而负责!
最新测试显示,本教程方法仅适用于Fedora 36 Beta及以下版本,Fedora 36正式版不再适用,官方支持通过特定工具一键生成安全启动密钥并导入,具体请参考这里

前提条件

在开始之前,您的电脑必须满足以下条件

  1. 主板必须在已经开启安全启动的情况下安装Fedora
  2. 必须确保任何来源、任何版本的英伟达驱动从未被安装过 (如果已经安装过,请搜索有关彻底卸载的相关教程,或者直接重装系统。因为笔者在试验时发现卸载完后再继续进行以下步骤仍然会导致驱动模块无法被签名)

具体步骤

打开终端,按步骤分别执行以下命令(本教程通用性强,无需考虑命令中的路径与环境变量问题)。

1.将系统更新到最新并重启Fedora

sudo dnf update
sudo reboot

将系统更新到最新并重启Fedora

2.安装Mok工具(mokutil)和密钥生成工具(openssl)

sudo dnf install mokutil openssl

安装Mok工具和密钥生成工具

3.生成内核驱动模块的自签安全启动密钥

sudo openssl req -new -x509 -newkey rsa:2048 -keyout ~/driver-signing.key -outform DER -out ~/driver-signing.der -nodes -days 36500 -subj "/CN=Private Driver Signing"

生成内核驱动模块的自签安全启动密钥

4.将刚刚自签的安全启动密钥进行注册(导入进主板)

此操作会让Linux内核信任由该自签密钥签名过的任何内核模块。

sudo mokutil --import ~/driver-signing.der

执行完此命令后,控制台会让您设置一个密码,该密码的作用是用来导入并注册自签自签密钥,只会在第6步用到一次,合理设置即可,建议8位。
在这里插入图片描述

5.重启电脑

sudo reboot

6.导入并注册自签密钥

在第5步键入完命令并重启时,系统启动之前会出现一个蓝色界面(标题为MOK Manager)。在安全启动的条件下安装过Ubuntu的您可能会熟悉。按照以下选项导入密钥即可:
注意:以下几个步骤要小心,任何一步误操作,都必须从第4步开始重做。

  1. 通过方向键选择“Enroll MOK”Enroll MOK

  2. 选择“Continue”Continue

  3. 选择“Yes”Yes

  4. 此时输入在第4步时设置的密码并回车(输入过程中密码不会显示)键入密码并回车

  5. 成功后选择“Reboot”Reboot
    此时,电脑会再次重启,等待进入Fedora即可。

7.启用两个第三方仓库,以便于安装修改过的内核工具进行模块签名

(感谢Elia Geretto提供的仓库)

sudo dnf copr enable egeretto/kmodtool-secureboot

在这里插入图片描述

sudo dnf copr enable egeretto/akmods-secureboot

在这里插入图片描述

8.修改仓库优先级,让修改过的内核工具优先于官方原版安装

以ROOT权限打开文件管理器,修改以下两个文件,每个文件均增加一行:priority=1,然后保存退出。
在这里插入图片描述
执行以下命令刷新软件源:

sudo dnf update --refresh

9.安装修改过的内核工具(kmodtool与akmods)

sudo dnf install kmodtool akmods

注意控制台中的此处,查看这两个软件包是否来自于刚刚添加的第三方仓库
如图所示
输入y同意导入仓库公钥:
在这里插入图片描述

10.移动证书至正确的位置以便于内核工具能识别到

依次执行以下命令即可:

sudo mv ~/driver-signing.der /etc/pki/akmods/certs/public_key.der

sudo chown root:akmods /etc/pki/akmods/certs/public_key.der

sudo chmod 640 /etc/pki/akmods/certs/public_key.der

sudo mv ~/driver-signing.key /etc/pki/akmods/private/private_key.priv

sudo chown root:akmods /etc/pki/akmods/private/private_key.priv

sudo chmod 640 /etc/pki/akmods/private/private_key.priv

在这里插入图片描述

11.安装英伟达驱动

执行以下命令即可:

sudo dnf install gcc kernel-headers kernel-devel akmod-nvidia xorg-x11-drv-nvidia xorg-x11-drv-nvidia-libs xorg-x11-drv-nvidia-libs.i686

12.编译并签名驱动内核模块

sudo akmods --force

13.更新内核启动镜像

sudo dracut --force

在这里插入图片描述

14.重启电脑

sudo reboot

15.查看英伟达驱动是否正确加载

执行以下命令,查看是否有如图所示的类似结果,并查看英伟达控制面板是否正常显示。
内核模块已正确加载效果图
在这里插入图片描述
在这里插入图片描述
教程结束

KylinDemons.
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ubuntu初始配置——安装wifi驱动
tyyhmtyyhm的博客
03-19 1078
1934年3月2日,没做什么有意义的事。妈的,这些混蛋教授,不但不知道自己泄气,还整天考,不是你考,就是我考,考他娘的什么东西。——季羡林
因为BIOSSecure boot开启导致的Nvidia驱动无法安装
Sundance_kkid的博客
01-20 4717
解决部分电脑nvidia驱动安装失败的方法
Fedora 10的安全安装与启动
weixin_33767813的博客
12-03 140
Fedora 10的安全安装与启动本文将详细介绍Fedora 10的安装与启动。如何正确、合理地安装和启动Linux,是正确使用和保证Linux安全的第一步。1.1  Fedora 10的安装1.1.1  硬件需求其实,Linux内核运行对硬件要求很低,在很多嵌入式系统使用的Linux内核很多不到100K。当然我们使用的Linux服务器版或者桌面版就比较庞大。以Fedora 10为例,其完全安装...
linux内核模块签名,linux内核模块签名
weixin_29982199的博客
04-30 1870
linux内核模块签名内核在模块模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。公钥生成内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配置。Makefile会根...
手动给内核模块签名
jlgcumt的博客
01-14 1064
一、insmod 遇到签名问题: Required key not available key文件路径:out/target/product/msm8953_64/obj/kernel/msm-3.18 sign-file路径:kernel/msm-3.18/scripts 模块路径:out/target/product/msm8953_64/obj/kernel/msm-3.18/...
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 815
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
tinhat:一组脚本,可帮助您在USB闪存驱动器上创建基于fedora的可启动文件系统
02-20
完成后,将USB驱动器插入目标计算机,并设置 BIOS 或 UEFI 为从USB启动,以验证其是否能正常启动并运行Fedora系统。 5. **更新与维护**: `tinhat` 也允许你后期对已创建的USB驱动器进行更新和维护,如添加新的...
基于fedora9的linux驱动程序hello模块编译笔记.doc
10-30
本篇文档详细介绍了如何在Fedora 9环境下编译一个简单的“Hello World”内核模块。以下是整个过程的关键知识点: 1. **Kernel Development Kit (kernel-devel)**:在编译内核模块之前,确保已安装`kernel-devel`包...
基于fedora9的hello驱动模块编译教程(源码)
04-12
本教程将详细讲解如何在Fedora 9操作系统上编译一个名为"hello"的简单驱动模块,这为初学者提供了一个很好的实践平台。 首先,我们需要了解Linux内核模块的基本概念。内核模块是可加载到运行的内核的代码片段,...
fedora 开机启动/禁止开机启动服务的实现
09-15
Fedora操作系统,管理服务的自动化启动和停止是通过`systemd`系统和服务管理器进行的。`systemd`允许用户控制哪些服务在系统启动时自动运行,以及在需要时手动启动或停止服务。下面将详细介绍如何在Fedora实现...
linux内核模块签名,如何签名内核模块Ubuntu 18.04
weixin_42395213的博客
04-30 2238
问题描述我是使用Ubuntu的新手。我正在尝试安装Genymotion,以便可以访问Android模拟器。为了使用Genymotion,需要我有VirtualBox。我已经安装了VirtualBox,但是好像我需要签署一个内核模块……我真的不确定如何去做。这是我在运行/sbin/vboxconfig后收到的错误消息:vboxdrv.sh: Stopping VirtualBox services....
linux+显卡+停止运行,Linux secure boot(安全启动)时添加Nvidia显卡驱动
weixin_39928787的博客
05-10 114
原文链接: http://www.bubuko.com/infodetail-809913.html开启Secure boot情况下,在Fedora 21下安装Nvidia 显卡驱动的方法。Nvidia显卡驱动可以从官网上下载最新版>>点击进入下载后添加可执行权限:#chmod +x NVIDIA-Linux*.run注意,安装Nvidia显卡需要满足的两个条件是1. nouveau...
linux 内核签名
qq_40227064的博客
04-28 3602
linux 驱动签名linux内核驱动安全机制
Linux内核模块签名与版本检查机制
最新发布
thinker
02-27 560
Linux内核模块签名Linux内核版本检查机制
Fedora实现UEFI安全启动
weixin_34292924的博客
06-01 323
为什么80%的码农都做不了架构师?>>> ...
fedora 配置内核模块编程
goingstudy的专栏
06-21 1094
以前就尝试过linux内核模块编程,但是一直没有成功,今天再次尝试终于成功了。 我认为配置的两个关键问题是:  安装与系统内核相同的内核树编译时选择正确的内核 对于第二个问题比较好解决,在写makefile时通过 uname -r 便可以正确的选择内核,所以难点是正确的安装内核树,按理说,这个也不是什么难题,主要是因为有些发行版默认不安装内核树,或者安装内核树后对内核升
编写hello内核模块--fedora21环境
maryfei的博客
05-16 295
1、编写内核模块参考:https://blog.csdn.net/sh21_/article/details/60878812hello.c --- 注意函数参数void  ----hello_init(void)#include <linux/module.h> #include <linux/kernel.h> static int hello_init(void) ...
Fedora Core 5 内核源代码安装手记及模块编程
Make Progress Everyday!
09-11 1140
FC5 release已经快一个月了,才发现安装后没有内核源码,安装光盘里也找不到,这是和以前版本不一样的地方。只好自己动手编译源码。一般也不需要用的Linux 内核源码,但是在安装一些软件的时候提示Invalid module format这就是没有用Makefile编译内核的原因。 安装kernel的src.rpm 到:http://download.fedora.redhat.com/p
linux系统NVIDIA英伟达驱动安装
weixin_45623536的博客
07-21 724
第一步:检查显卡第二步:官网查找相同型号版本的驱动下载驱动例如NVIDIA-Linux-x86_64-418.56.run给执行权限777替换+x也可以。小白习惯777第三步:执行sudo ./NVIDIA-Linux-x86_64-418.56.run -no-x-check -no-opengl-files。
FC7上编译2.6内核步骤详解:启动文件与模块编程
"本文将详细介绍如何在Fedora Core (FC) 系统上编译Linux内核以及进行模块编程。我们将探讨编译内核的原因、步骤,并涉及添加系统调用和模块操作等主题。" 在Linux环境,内核是操作系统的核心部分,负责管理硬件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KylinDemons.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值