为什么 Ubuntu 自 4.16.4 起停止发布签名的 Linux 内核映像？

Question 1

我认为主线内核映像之前也没有签名过。最新版本只是更改了软件包名称。

为了验证我根据 Canonical 证书检查了图像：https://github.com/slytomcat/UEFI-Boot/blob/master/keys/canonical-uefi-ca.crt

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.16.1-041601-generic
warning: file-aligned section .text extends beyond end of file
warning: checksum areas are greater than image size. Invalid section table?
No signature table present
Unable to read signature data from /boot/vmlinuz-4.16.1-041601-generic
Signature verification failed

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.15.0-23-generic
Signature verification OK

Answer

我认为主线内核映像之前也没有签名过。最新版本只是更改了软件包名称。

为了验证我根据 Canonical 证书检查了图像：https://github.com/slytomcat/UEFI-Boot/blob/master/keys/canonical-uefi-ca.crt

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.16.1-041601-generic
warning: file-aligned section .text extends beyond end of file
warning: checksum areas are greater than image size. Invalid section table?
No signature table present
Unable to read signature data from /boot/vmlinuz-4.16.1-041601-generic
Signature verification failed

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.15.0-23-generic
Signature verification OK

Question 2

是的！K4.16.3> 之后的所有最新 Ubuntu 维护内核都是未签名的，令我沮丧的是，对此没有任何解释！

注意：千万不要尝试安装这些当前的“未签名的 Linux 镜像“不建议这样做，因为这样做会破坏我的系统，当我尝试安装所述内核时，我的系统崩溃了。

在我看来，等到下一个主要内核版本 K4.17，我希望 linux-images 将包含所需的签名。

**对于没有或使用基于 UEFI 安全启动的系统（即老式 Bios）的用户，也没有说明或解释。我仍然不知道为什么这些内核无法工作或安装。我读到过这些签名旨在防止恶意软件入侵。如果有文档就更好了。

Answer

是的！K4.16.3> 之后的所有最新 Ubuntu 维护内核都是未签名的，令我沮丧的是，对此没有任何解释！

注意：千万不要尝试安装这些当前的“未签名的 Linux 镜像“不建议这样做，因为这样做会破坏我的系统，当我尝试安装所述内核时，我的系统崩溃了。

在我看来，等到下一个主要内核版本 K4.17，我希望 linux-images 将包含所需的签名。

**对于没有或使用基于 UEFI 安全启动的系统（即老式 Bios）的用户，也没有说明或解释。我仍然不知道为什么这些内核无法工作或安装。我读到过这些签名旨在防止恶意软件入侵。如果有文档就更好了。

为什么 Ubuntu 自 4.16.4 起停止发布签名的 Linux 内核映像？

答案1

答案2

相关内容