签名内核有缺点吗?

签名内核有缺点吗?

主要是一个一般性的 Linux 问题,但需要具体说明的地方我引用的是 Debian 12 Bookworm amd64 UEFI 通过 grub 启动(不是直接内核存根)。由于某些多重启动原因,我在固件中禁用了安全启动,并且我可以选择签名或未签名的内核。

  • 签名内核是否有任何负面影响,可能存在不兼容性或加载模块失败?
  • 签名后的内核大约大了 2%,这对我的系统来说微不足道。是否使用相同的模块或需要单独的特殊构建?
  • 我可以在系统中同时拥有一个已签名和一个未签名的内核,类似于拥有同系列的旧稳定内核和非常新的内核,或者常规内核和实时内核吗?

答案1

如果禁用安全启动,则不会使用已签名内核上的签名,并且其行为类似于未签名内核。

  1. 不存在不兼容性,您可以在不签名的情况下加载模块。

  2. 参见上文,不需要特殊构建。

  3. 是的,您可以将未签名的内核与签名的内核一起使用。

相关内容