linux内核签名认证机制,Linux内核模块在安全启动模式下的签名和安装

最新推荐文章于 2023-10-11 15:17:48 发布
最新推荐文章于 2023-10-11 15:17:48 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: linux内核签名认证机制

在安全启动模式下,是不能加载未签名或由未注册的密钥签名的内核模块的,所以本文介绍了如何签名内核模块,并安装到Linux内核中。

本文参考了itpropmn07的回答的第一步和第二步。

以RTL8821CE驱动为例,在得到8821ce.ko后,按照下面的命令生成私钥和公钥。wifi.key是私钥文件的名称,wifi.der是公钥文件的名称,wifi drivers是证书一般名称(CN)。

openssl req -new -x509 -newkey rsa:2048 -keyout wifi.key -outform DER -out wifi.der -nodes -days 36500 -subj "/CN=wifi drivers"

使用以下命令把公钥导入到MOK证书列表内,命令执行时会要求你输入两次密码(重启后要验证这个密码),之后重启电脑。在进入系统前会出现蓝色界面,按照这个链接里图片所示步骤操作。

sudo mokutil --import ./wifi.der

成功导入公钥后,执行以下命令,检查证书是否成功导入。若导入成功,则会在输出结果中找到Issuer: CN=wifi drivers字样。

mokutil --list-enrolled

给模块签名,参数列表中,私钥在前,公钥在后。

/usr/src/linux-headers-5.0.0-20-generic/scripts/sign-file sha256 wifi.key wifi.der 8821ce.ko

用以下命令检查签名是否成功。输出结果中出现这样的字符 Moudle signature appended,表示签名成功。

hexdump -C 8821ce.o | tail

#......

003c14d0 00 02 00 00 00 00 00 00 00 01 87 7e 4d 6f 64 75 |...........~Modu|

003c14e0 6c 65 20 73 69 67 6e 61 74 75 72 65 20 61 70 70 |le signature app|

003c14f0 65 6e 64 65 64 7e 0a |ended~.|

003c14f7

最后就是安装和加载模块了。

sudo make install

sudo modprobe -a 8821ce

有输出表示加载成功。

lsmod | grep 8821ce

参考链接:

Reinhardt Jin
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核签名认证机制,centos内核编译与其签名机制
weixin_31022521的博客
04-29 1190
centos内核编译与其签名机制linux内核3.7引入的签名机制,极大地方便了对内核模块安全认证,同时也为操作系统厂家提供了IP保护的技术手段。不过,凡事有利也有弊。对刚刚接触具有签名机制内核的工程师而言,需要一段理解并适应新内核的过程。为此,小编结合自己的工作经历,总结了一些要点和大家一起分享。1.什么是内核签名机制内核签名就是内核利用公钥对驱动模块校验的过程,对检验通过的模块,准许加载...
Linux 内核签名签名内核模块)、linux 驱动签名
西京刀客
06-10 3822
一、Linux 内核签名 1. 什么是linux 内核签名 内核模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块内核会检查模块签名, 如果签名不存在或者签名内容不一致,会强
rtl8821cu芯片无线网卡驱动编译后的ko文件
12-28
rtl8821cu 网卡 编译好的ko文件 主要是针对有该类型芯片的无线网卡在linux中无法被识别的问题,在我的博客中有介绍详细的使用方法
u-boot验签kernel的签名生成过程
李老板的移动安全杂货铺
10-20 3430
相关背景 linux系统本身支持对kernel文件的签名验签功能,即通过its文件配置相关签名信息,在u-boot中开启相关配置,即可实现启动过程中uboot对kernel的验签功能。不过需要注意的是,这种原生的实现仅支持bootm的启动方式,如果你的uboot使用booti启动kernel,则需要自行实现对kernel的签名验签。 本文简单介绍带签名信息的kernel二进制文件的生成方式,以及u-boot验签功能开启的重要步骤。 工作目录的结构 ~/dev/verify-boot$ tree -
Linux内核签名签名内核模块)、linux 驱动签名安装特定版本的 kernel-devel...
小鱼菜鸟的博客
07-22 758
Linux 内核签名 Linux 内核签名(签名内核模块)、linux 驱动签名_西京刀客-CSDN博客_linux内核签名 安装特定版本的 kernel-devel 两种方法。 一、yum 安装 查看内核版本 uname -r 查看目前已有的 kernel-devel uname -a ; rpm -qa kernel\*...
linux驱动模块加载时出现与内核不匹配的问题
仗劍走天涯
08-06 3127
参考:https://blog.csdn.net/hbcbgcx/article/details/88194321 安装模块时出现:[root@FriendlyARM nfs]# insmod key2.ko key2: version magic '2.6.32.2 mod_unload modversions ARMv4 ' should be '2.6.32.2-FriendlyARM ...
Linux内核模块和驱动的编写.rar_linux 妯″潡_linux内核_内核_内核模块_驱动内核删除
09-14
通过学习和实践Linux内核模块和驱动的编写,开发者不仅可以增强对操作系统底层工作的理解,也能更好地定制和优化系统,满足特定场景的需求。同时,这也为硬件设备的适配和管理提供了灵活的解决方案。
Linux可加载内核模块LKM机制安全性研究.pdf
09-06
3. **模块签名验证绕过**:默认情况下,Linux内核会检查LKM的签名以确保其来源可靠。但是,如果签名验证机制被绕过,未经验证的模块可以被加载,从而破坏系统安全。 4. **ELF格式文件操作漏洞**:LKM通常采用ELF...
linux下编译linux内核_内核_linux内核_怎样编译内核_
09-30
在实际操作中,有时还需要处理如内核模块签名、编译时优化选项设置、多核编译加速等问题。此外,对于生产环境,建议先在测试环境中进行编译和测试,以防止因新内核导致的意外问题。 总之,编译Linux内核需要对操作...
NVIDIA 显卡驱动 TLinux 签名内核
10-06
NVIDIA 显卡驱动 TLinux 签名内核,下载 NVIDIA-Linux-x86_64-418.87.00/kernel 下内核模块文件nvidia-uvm.ko 和 nvidia.ko 之后再将这两个文件下载拷贝到相应的文件夹,depmod更新模块依赖
突破Linux内核模块校验机制
03-24
突破Linux内核模块校验机制 突破Linux内核模块校验机制
模块驱动安装签名导致的失败
gdzj的专栏
03-26 1550
一、问题描述 在某些电脑上安装模块设备驱动时不成功,提示“文件的哈希值不在指定的目录文件中。此文件可能了已经被损坏或被篡改”。 二、问题分析与解决思路 在Windows8和Windows10系统中,安装一些未通过签名认证的驱动程序时,会提示“文件的哈希值不在指定的目录文件中”,驱动安装失败。此处拟通过手动禁用驱动程序强制签名,来完成驱动程序的安装。 三、实施方案 方案一: 从系统...
安卓-apk系统签名
最新发布
沐的博客
10-11 1万+
安卓-apk系统签名
linux 签名apk,Linux 下apk文件实现签名
weixin_29051193的博客
05-25 793
签名的意义   为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的Package Name来混淆替换已经安装的程序,我们需要对我们发布的APK文件进行唯一签名,保证我们每次发布的版本的一致性(如自动更新不会因为版本不一致而无法安装)。apk文件签名主要分为三个步骤,证书的创建-->签名生成-->优化(可选)前提是已经安装jdk并且已经添加到环境变量中。证书的创建key...
Linux下使用.sig文件验证签名
嫉妒的虚荣
06-27 539
将 libunwind-1.70.tar.gz 和 libunwind-1.70.tar.gz.sig 放在同一路径下。使用gpg进行验证,此时输出如注释所示(no public key)
apk签名原理之Linux命令行计算hash-digest
流水mpc
10-28 587
鉴于网络较少资料描述apk签名中的hash摘要具体验证计算方法,本文主要通过Ubuntu命令行验证计算基于apk v1或v1+v2版本的MANIFEST.MF及CERT.SF中的hash-digest。 See more inhttps://gitlab.com/androidapkutils/apks/-/tree/master/signature-versions, below data are based on v1 and v1+v2 in this repository. ######..
系统签名apk注意事项
babytiger的专栏
08-18 114
想做个自动下载.img文件来更新android系统 ,这个apk要系统签名才可以使用 将以下所有文件放入同一个文件夹命名为sign 1、在Android系统源码中的\build\target\product\security目录下找到 platform.x509.pem 和platform.pk8两个文件; 2、在out/host/Linux-x86/framework目录下找到signapk.jar文件 3、找到 libconscrypt_openjdk_jni库 prebuilts/sdk/t...
android 程序判断签名文件后缀,如何判断 Android 应用的 Apk 签名是否一致?<知乎>...
weixin_33805938的博客
05-26 344
观点1:可以比对apk签名的fingerprint。假定安装了JDK,如果想查HelloWorld.apk所使用的签名的fingerprint,可以这样做:1. 查找apk里的rsa文件(Windows)> jar tf HelloWorld.apk |findstr RSA(Linux)$ jar tf HelloWorld.apk |grep RSAMETA-INF/CERT.RSA2....
apk签名相关工具及使用方法
m0_38087422的博客
07-22 1475
apk签名方法,密钥生成,查看apk的签名信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值