insmod: ERROR: could not insert module xxxxxxxx.ko: Operation not permitted
dmesg | grep secureboot
dmesg | grep lockdown
會打印相應的 lockdown 開啟顯示信息
將生成的密鑰和證書改名為: signing_key.x509 和 signing_key.priv 放到 Linux kernel 源碼根目錄。
使用新編譯的 kernel 重啟系統後,使用如下命令查看已生效的簽名證書:
dmesg | grep MODSIGN
會顯示類似如下信息:
[ 2.450021] MODSIGN: Loaded cert 'GenFic: Kernel Signing Key: b923a5f44eae25bbad52c8bf2742e7b7e6fb0c0e'
可以將模塊與內核壹同編譯,也可以以後單獨編譯,單獨編譯完的模塊要用下面的命令對模塊進行簽名:
/usr/src/linux-headers-5.3.0-51-generic/scripts/sign-file sha512 /home/yangyuqi/ko_sign_key/private_key.priv /home/yangyuqi/ko_sign_key/public_key.der xxxxxxxx.ko
可以使用如下命令查看是否簽名已添加到模塊:
hexdump -C hello.ko | tail
可以使用如下命令移除簽名:
strip --strip-debug hello.ko