一般来说只要关闭SecureBoot既可,但不是很舒服,以下是不关闭的情况下如何对内核模块签名
首先生成密钥文件:
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500
此处的KeyFile可以保存下来,需要对什么模块签名就使用这两个文件
然后对模块签名(vmware):
sudo /usr/src/linux-headers-`uname -r`/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vmmon)
sudo /usr/src/linux-headers-`uname -r`/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vmnet)
对于anbox:
sudo /usr/src/linux-headers-`uname -r`/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n ashmem_linux)
在tpm上导入签名文件:
sudo mokutil --import MOK.der
重启后secureboot会拒绝启动,此时选enrool,输入刚才生成签名文件时的密钥
这一步只需要一次就可,以后前面都不需要了
此时重启即可在SecureBoot下使用这些软件了
谢绝转载