sbsign：签署非 EFI 内核

Question

sbsign并且pesign只能对 PE 格式的二进制文件进行签名 - UEFI 和 Windows 使用的格式。如果您想对非 PE 二进制文件进行签名，则需要使用其他工具。

如果你想对内核模块进行签名，你可以使用附加签名-sign-file并且kmodsign可以做到这一点。（但 DKMS 系统可以更轻松地为您完成所有工作！）

如果您想签署自己的内核，您有以下几种选择：

将内核构建为 EFI 二进制文件并使用sbsign或pesign。有内核配置选项可用于此目的。
使用其他机制来保护从 Grub 到内核的步骤，例如 Grub 的分离签名支持。请注意，这将要求您构建自己的 grub 并以 shim（或您的 UEFI 固件）接受的方式对其进行签名。

Answer 1

sbsign并且pesign只能对 PE 格式的二进制文件进行签名 - UEFI 和 Windows 使用的格式。如果您想对非 PE 二进制文件进行签名，则需要使用其他工具。

如果你想对内核模块进行签名，你可以使用附加签名-sign-file并且kmodsign可以做到这一点。（但 DKMS 系统可以更轻松地为您完成所有工作！）

如果您想签署自己的内核，您有以下几种选择：

将内核构建为 EFI 二进制文件并使用sbsign或pesign。有内核配置选项可用于此目的。
使用其他机制来保护从 Grub 到内核的步骤，例如 Grub 的分离签名支持。请注意，这将要求您构建自己的 grub 并以 shim（或您的 UEFI 固件）接受的方式对其进行签名。

相关内容