我构建了一个需要内核模块的软件包。它使用 /usr/src/linux-headers-5.4.0-33-generic/scripts/sign-file 可执行文件来签名内核模块,这里 sign-file 使用 /var/lib/shim-signed/mok/MOK.der 和 /var/lib/shim-signed/mok/MOK.priv 中的 der 和 priv 文件。当我尝试安装内核模块时,insmod 命令失败,dmesg 告诉我 .ko 文件未签名,但我可以使用 modinfo 验证它确实已签名。
我查看了 /proc/keys 并确认没有列出签名者,即
sudo openssl x509 -in /var/lib/shim-signed/mok/MOK.der -inform der 文本
显示签名者(通用名称)是 ubuntu 安全启动模块签名密钥,它不是 /proc/keys 中列出的密钥。
我想我可以通过发出命令来解决这个问题
sudo mokutil-导入 MOK.der
但这不是 20.04 Ubuntu 安装应该做的事情吗?