关于kernel module签名

最新推荐文章于 2024-07-23 11:14:38 发布
最新推荐文章于 2024-07-23 11:14:38 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang010/article/details/109133301
版权

在实际应用中,为了安全,一般会使用将发布的ko进行签名,特别是像android这样的系统。例如:在android系统中,kernel在bootimage中,如果编译的ko文件在vednor或其他分区,并且打开了模块签名与校验配置,那么在调试的时候就需要同时编译ko与bootimage,否则外部的ko将安装失败。

关于kernel module签名可以参考:https://github.com/torvalds/linux/blob/master/Documentation/admin-guide/module-signing.rst,已经写的非常详细了。

下面是一次调试实例:在调试kernel过程中,当重新编译bootimage后,独立编译在其他分区的ko文件安装失败了,根据上面的参考链接与本地代码发现打开了如下开关:

CONFIG_MODULE_SIG=y
CONFIG_MODULE_SIG_FORCE=y

由于没有配置CONFIG_MODULE_SIG_KEY来指定签名的密钥,所以每次在编译的时候都会动态生成一个密钥对,导致每次前面的密钥不一样,从而安装失败。为了调试,根据上面参考链接的介绍,关闭了CONFIG_MODULE_SIG_FORCE,重新编译,启动的时候出现了如下报错信息:

xxx:disagrees about version of symbol module_layout

根据stackexchange上的回答,只能先关闭CONFIG_MODVERSIONS配置选项。重新编译,还是安装失败,报如下错误:

xxx: version magic '4.9.193+ SMP preempt mod_unload modversions aarch64' should be '4.9.193+ SMP preempt mod_unload aarch64'

根据 include/linux/vermagic.h中对VERMAGIC_STRING的定义,可以知道CONFIG_MODVERSIONS在打开的时候MODULE_VERMAGIC_MODVERSIONS的值为"modversions ",因为外部xxx.ko在编译的时候CONFIG_MODVERSIONS=yes,所以我们在CONFIG_MODVERSIONS关闭的时候MODULE_VERMAGIC_MODVERSIONS的值也要为"modversions "。修改如下:

--- a/include/linux/vermagic.h
+++ b/include/linux/vermagic.h
@@ -19,7 +19,7 @@
 #ifdef CONFIG_MODVERSIONS
 #define MODULE_VERMAGIC_MODVERSIONS "modversions "
 #else
-#define MODULE_VERMAGIC_MODVERSIONS ""
+#define MODULE_VERMAGIC_MODVERSIONS "modversions "
 #endif
 #ifndef MODULE_ARCH_VERMAGIC
 #define MODULE_ARCH_VERMAGIC ""

重新编译后,启动正常。

该方法只能用于调试,在生产环境中应该将这些配置恢复。

jiang010
关注
专栏目录
Linux内核模块签名与版本检查机制
thinker
02-27 744
Linux内核模块签名Linux内核版本检查机制
Kernel,内核模块签名机制、CONFIG_MODULE_SIG
mzhan017的博客
10-03 1117
内核模块签名机制
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 852
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
(RK3568)version magic ‘4.19.232 SMP preempt mod_unload modversions aarch64‘ should be ‘4.19.232 SMP
最新发布
weixin_64651584的博客
07-23 274
最近在学习rk3568驱动的过程中也是一直踩坑,在使用insmod插入内核模块hello.ko到RK3568开发板的过程中出现了(version magic '4.19.232 SMP preempt mod_unload modversions aarch64' should be '4.19.232 SMP)的报错,具体如下图。 发现是因为开发板烧写的boot.img和我Makefile文件里面的内核路径版本不一样,如下所示为我makefile文件的内核路径,但是我开发板烧写的内核boo
ubuntu 安装vm虚拟机时 启动失败 How to sign a kernel module Ubuntu 18.04
miaoman123456的博客
08-27 694
失败提示信息如下: vboxdrv.sh: Stopping VirtualBox services. vboxdrv.sh: Starting VirtualBox services. vboxdrv.sh: Building VirtualBox kernel modules. vboxdrv.sh: failed: modprobe vboxdrv failed. Please use 'dmesg' to find out why. There were problems setting up
Android使用固定的key给ko(kernel module) 签名
Deep Lee的专栏
10-13 1839
Android 原生默认每次编译使用自动生成在out目录的 pem和x509文件签名,由于种种原因我们可能需要使用固定的key给ko做签名,经过研究发现如果要使用固定的key来签名,需要做一下修改。
linux内核签名认证机制,Linux内核模块在安全启动模式下的签名和安装
weixin_36227100的博客
04-29 1215
在安全启动模式下,是不能加载未签名或由未注册的密钥签名的内核模块的,所以本文介绍了如何签名内核模块,并安装到Linux内核中。本文参考了itpropmn07的回答的第一步和第二步。以RTL8821CE驱动为例,在得到8821ce.ko后,按照下面的命令生成私钥和公钥。wifi.key是私钥文件的名称,wifi.der是公钥文件的名称,wifi drivers是证书一般名称(CN)。openssl ...
android内核模块签名,android安装内核module,提示Required key not available
weixin_32943417的博客
05-31 992
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核...
The Linux Kernel Module Programming Guide 2.6 中英文對照版
12-09
9. **安全与模块签名**:讨论了内核模块的安全问题,如何防止恶意模块的加载,并介绍了模块签名的概念。 10. **实践案例**:通过实际的代码示例,帮助读者理解和应用前面介绍的理论知识。 通过阅读这本书,开发者...
安装nvidia driver出错,需要内核模块签名(signed kernel module)的解决过程
01-21 2496
有一段时间没写博客了,今天遇到的问题耗费了很多精力,需要记录一下。同样问题的完整解决过程,我没有在google上搜到。       安装nvidia driver,会有build kernel module的过程,安装kernel-devel包之后,正常的安装步骤略去不表,一般情况下,一路确定下去基本不会有问题。如果内核编译时,选择加载模块强制需要签名,就会碰到下面的问题,war
linux内核模块签名,如何签名内核模块Ubuntu 18.04
weixin_42395213的博客
04-30 2339
问题描述我是使用Ubuntu的新手。我正在尝试安装Genymotion,以便可以访问Android模拟器。为了使用Genymotion,需要我有VirtualBox。我已经安装了VirtualBox,但是好像我需要签署一个内核模块……我真的不确定如何去做。这是我在运行/sbin/vboxconfig后收到的错误消息:vboxdrv.sh: Stopping VirtualBox services....
Android Kernel Module 预编译同步签名方法
Deep Lee的专栏
09-20 817
Android Kernel Module 预编译同步签名方法
linux内核签名认证机制,centos内核编译与其签名机制
weixin_31022521的博客
04-29 1247
centos内核编译与其签名机制linux内核3.7引入的签名机制,极大地方便了对内核模块的安全认证,同时也为操作系统厂家提供了IP保护的技术手段。不过,凡事有利也有弊。对刚刚接触具有签名机制的内核的工程师而言,需要一段理解并适应新内核的过程。为此,小编结合自己的工作经历,总结了一些要点和大家一起分享。1.什么是内核签名机制?内核签名就是内核利用公钥对驱动模块校验的过程,对检验通过的模块,准许加载...
linux内核模块签名,linux内核模块签名
weixin_29982199的博客
04-30 1950
linux内核模块签名内核在模块模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。公钥生成内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配置。Makefile会根...
关掉模块的验证CONFIG_MODULE_SIG
jason的笔记
11-16 9908
遇到下面的bug,是由于模块验证不通过造成的,有一个workaround的方法是在config文件中关掉CONFIG_MODULE_SIG 这个选项,系统就可以起来了 [    9.827069] ------------[ cut here ]------------ [    9.831763] kernel BUG at crypto/asymmetric_keys/public
关于内核模块签名的问题
shujuliu818的专栏
10-31 4082
(1)今天第一个遇到的比较棘手的问题就是编译模块wr_thread     WARNING: "mcount" [/home/ams/Music/test/kernel_test/wr_thread/wr_thread.ko]     解决的方法是升级了gcc 从gcc4.4 升级到gcc4.8          update-alternatives --install /usr
linux内核模块编译
weixin_63137680的博客
03-26 304
Linux内核模块的编写、装载与卸载。
vmware kernel module updater
03-16
VMware Kernel Module Updater 是 VMWare 软件中的一个模块,它用于更新 VMWare 内核模块以确保 VMWare 软件在操作系统上的正常运行。它会自动检查内核模块的版本并将其更新到与操作系统兼容的最新版本。在使用 VMWare 软件时,如果您遇到了与内核模块有关的问题,可以尝试运行 VMWare Kernel Module Updater 来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值