sbsign:签署非 EFI 内核

sbsign:签署非 EFI 内核

以下链接解释了如何签署内核模块: https://ubuntu.com/blog/how-to-sign-things-for-secure-boot

sbsign --key MOK.priv --cert MOK.pem my_binary.efi --output my_binary.efi.signed

如何签署非 EFI 内核映像(例如 bzImage)?

谢谢你,Zvika

答案1

sbsign并且pesign只能对 PE 格式的二进制文件进行签名 - UEFI 和 Windows 使用的格式。如果您想对非 PE 二进制文件进行签名,则需要使用其他工具。

如果你想对内核模块进行签名,你可以使用附加签名-sign-file并且kmodsign可以做到这一点。(但 DKMS 系统可以更轻松地为您完成所有工作!)

如果您想签署自己的内核,您有以下几种选择:

  • 将内核构建为 EFI 二进制文件并使用sbsignpesign。有内核配置选项可用于此目的。
  • 使用其他机制来保护从 Grub 到内核的步骤,例如 Grub 的分离签名支持。请注意,这将要求您构建自己的 grub 并以 shim(或您的 UEFI 固件)接受的方式对其进行签名。

相关内容