Dlaczego dostaję „Wymagany klucz niedostępny” podczas instalacji modułów jądra innych firm lub po aktualizacji jądra?

Ten problem występuje tylko w systemach UEFI z włączonym Bezpiecznym uruchomieniem.

Kiedy próbuję zainstalować moduły DKMS, takie jak VirtualBox, Nvidia lub sterowniki Broadcom, nie instalują się one i Required key not availablepojawia się, gdy próbuję modprobeje zainstalować .

VirtualBox narzeka, że vboxdrvnie jest załadowany.

Sterownik Broadcom wljest pokazany lspci -kjako moduł jądra, ale nie jest używany. sudo modprobe wlrzuca Required key not available.

Ten problem może również wystąpić, gdy instaluję niektóre moduły jądra ze źródeł git.

Ten problem może pojawić się po aktualizacji jądra jako wyłączony adapter bezprzewodowy, czarny ekran po ponownym uruchomieniu itp.

Jak mogę to naprawić?

Od jądra Ubuntu 4.4.0-20 EFI_SECURE_BOOT_SIG_ENFORCEkonfiguracja jądra została włączona. Zapobiega to ładowaniu niepodpisanych modułów stron trzecich, jeśli włączony jest Bezpieczny rozruch UEFI.

Najłatwiejszym sposobem rozwiązania tego problemu jest wyłączenie Bezpiecznego rozruchu w ustawieniach UEFI (BIOS).

W większości przypadków możesz przejść do ustawień UEFI za pomocą menu grub. Naciśnij ESCprzycisk podczas uruchamiania, przejdź do menu grub i wybierz Ustawienia systemu. Opcja Bezpiecznego rozruchu powinna znajdować się w sekcji „Zabezpieczenia” lub „Uruchomienie” interfejsu UEFI.

Możesz dostać się bezpośrednio do UEFI, ale zależy to od twojego sprzętu. Przeczytaj instrukcję obsługi komputera, aby dowiedzieć się, jak się tam dostać. Może to być Delalbo F2przy rozruchu, albo coś innego.

Alternatywnym sposobem jest wyłączenie Bezpiecznego rozruchu za pomocą mokutil.

Ponieważ kompilacja jądra Ubuntu 4.4.0-21.37 można to naprawić, uruchamiając

sudo apt install mokutil
sudo mokutil --disable-validation

Będzie to wymagało utworzenia hasła. Hasło powinno mieć co najmniej 8 znaków. Po ponownym uruchomieniu UEFI zapyta, czy chcesz zmienić ustawienia zabezpieczeń. Wybierz „Tak”.

Następnie zostaniesz poproszony o wprowadzenie wcześniej utworzonego hasła. Niektóre oprogramowanie układowe UEFI prosi nie o pełne hasło, ale o wprowadzenie niektórych jego znaków, takich jak 1., 3. itd. Bądź ostrożny. Niektórzy ludzie tego nie rozumieją. Nie dostałem go od pierwszej próby ;-)

Aktualizacja: teraz ta konfiguracja jądra jest włączona we wszystkich obsługiwanych jądrach Ubuntu. Dotyczy to Ubuntu 16.04, 15.10 i 14.04.

Zgodnie z sugestią użytkownika @zwets, kopiuję (z edycjami) odpowiedź tutaj:

Od wersji jądra 4.4.0-20 wymuszono, że niepodpisane moduły jądra nie będą mogły działać przy włączonym Bezpiecznym rozruchu. Jeśli chcesz zachować bezpieczny rozruch, a także uruchomić te moduły, następnym logicznym krokiem jest podpisanie tych modułów.

Więc spróbujmy.

1. Utwórz klucze do podpisywania

   openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=Descriptive name/"
   

2. Podpisz moduł

   sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./MOK.priv ./MOK.der /path/to/module
   

Uwaga 1 : Może istnieć wiele plików do podpisania dla jednego sterownika / modułu, więc /path/to/modulemoże być konieczne zastąpienie go $(modinfo -n <modulename>)np$(modinfo -n vboxdrv)

Uwaga 2 : sudo kmodsign sha512 ./MOK.priv ./MOK.der /path/to/modulejest alternatywą, jeśli sign-filenie jest dostępna.

3. Zarejestruj klucze do bezpiecznego rozruchu

   sudo mokutil --import MOK.der
   

   Podaj hasło do późniejszego użycia po ponownym uruchomieniu

4. Rebooti postępuj zgodnie z instrukcjami, aby zarejestrować MOK (klucz właściciela maszyny). Oto próbka ze zdjęciami. System uruchomi się ponownie.

Jeśli klucz został poprawnie zarejestrowany, pojawi się pod sudo mokutil --list-enrolled.

Daj mi znać, jeśli twoje moduły będą działać w ten sposób na Ubuntu 16.04 (jak sądzę na jądrze 4.4.0-21).

Zasoby: Szczegółowy artykuł na stronie internetowej dotyczący implementacji podpisywania modułów przez Fedorę i Ubuntu . (pracowali nad tym) ;-)

Dodatkowy zasób: Utworzyłem skrypt bash na własny użytek za każdym razem, gdy przeprowadzana jest virtualbox-dkmsaktualizacja, i dlatego zastępuje podpisane moduły. Sprawdź mój vboxsignpierwotnie na GitHub .

Dodatkowa uwaga dla osób świadomych bezpieczeństwa: ;-)

Ponieważ utworzonego klucza prywatnego ( MOK.privw tym przykładzie) może używać każdy, kto może mieć do niego dostęp, dobrą praktyką jest zabezpieczenie go. Możesz chmodto, zaszyfrować ( gpg) lub zapisać w innym bezpiecznym miejscu (r). Lub, jak zauważono w tym komentarzu , usuń opcję -nodesw kroku 1. Spowoduje to zaszyfrowanie klucza za pomocą hasła.

Możesz wyłączyć Bezpieczny rozruch (UEFI) w systemie BIOS, wykonując następujące czynności:

1. Uruchom ponownie urządzenie i wejdź do menu BIOS (w moim przypadku naciśnięcie F2)

2. Wyszukaj Bezpieczny rozruch i zmień na Legacy

Na płycie głównej ASUS:

• Przejdź do trybu zaawansowanego (F7)
• Przejdź do opcji Bezpiecznego rozruchu w sekcji Boot
• Zmień „Windows UEFI mode” za pomocą „Other OS”
• Zapisz i uruchom ponownie, aby zastosować ustawienia (F10)

Możesz także wyłączyć Bezpieczny rozruch podczas pracy z podpisem shim sudo update-secureboot-policy. Ta strona wiki wyjaśnia tę metodę:

• Otwórz terminal (Ctrl + Alt + T) i uruchom sudo update-secureboot-policy, a następnie wybierz Tak.
• Wprowadź tymczasowe hasło zawierające od 8 do 16 cyfr. (Na przykład 12345678, użyjemy tego hasła później
• Wprowadź to samo hasło ponownie, aby potwierdzić.
• Uruchom ponownie system i naciśnij dowolny klawisz, gdy zobaczysz niebieski ekran (zarządzanie MOK
• Wybierz Zmień stan bezpiecznego rozruchu
• Wprowadź hasło wybrane w kroku 2 i naciśnij klawisz Enter.
• Wybierz Tak, aby wyłączyć Bezpieczny rozruch w podpisie tymczasowej.
• Naciśnij klawisz Enter, aby zakończyć całą procedurę.

Nadal możesz włączyć Bezpieczny rozruch w podpisie tymczasowej. Po prostu wykonaj

sudo update-secureboot-policy - włącz, a następnie wykonaj powyższe kroki