我对安全启动策略还不熟悉。我发现在全新安装 Ubuntu 18.04.2 后,文件夹中有一个默认的 parisMOK.der
和。如果我理解正确的话,它们是为了让用户更容易签署第三方内核模块。然而,这也让我感到困惑,因为它们似乎带来了一些安全问题,这违背了安全启动的目的。我的问题是: MOK.priv
shim
- 如果我使用这个默认对来签署内核模块,我是否应该在每次签署后删除该对(或至少是私钥)并在该目录中生成一对新对以供下次签署?
- 对于 DKMS,它是否会在构建期间查找精确的目录和文件名来自动签署内核模块?
- DKMS 应该在内核升级期间重建并重新签名模块。此重新签名过程是否需要原始密钥对?
- 避免使用相同的密钥签署多个模块是一条一般规则吗?
- 除 4 外,为私钥设置密码以便可以以相对安全的方式用它签署多个模块是一个好主意吗?