Weishan Yang's questions

Desejo adicionar uma chave pública do par de chaves que usei para assinar meu módulo do kernel em system_keyring. No entanto, há um problema:

Com o comando de cat /proc/keys | grep system_keyring, obtive a entrada (ID) de system_keyring. No entanto, ao tentar adicionar minha chave pública com este comando: keyctl padd asymmetric "" 0xXXXXXXXX</test/signing_key.x509, recebi o erro "Permissão negada".

Acho que é devido à restrição descrita no "module_signing.txt" https://01.org/linuxgraphics/gfx-docs/drm/admin-guide/module-signing.html :

Observe, no entanto, que o kernel só permitirá que as chaves sejam adicionadas ao .system_keyring se o wrapper X.509 da nova chave for validamente assinado por uma chave que já resida no .system_keyring no momento em que a chave foi adicionada.

No entanto, não consigo encontrar nenhum documento que descreva como assinar o "x.509 wrapper" com a chave já residente no .system_keyring.

Além disso, acho que as chaves nesse chaveiro são apenas chaves públicas. Então, eu nem acho que vai funcionar, mesmo que eu consiga extrair a chave pública do chaveiro e assinar o "invólucro X.509" com essa chave pública.

De qualquer forma, preciso de alguma ajuda aqui. Ou, mesmo que algo possa me dar uma dica de como enviar meu módulo do kernel para o RedHat para que ele possa ser assinado pelo RedHat e instalado na instalação do usuário sem reconstruir o kernel?

Temos um módulo de kernel que estava sendo construído corretamente para a família RedHat de distribuição Linux, até o recente RHEL7.5.

Ao tentar construir no RHEL7.5, temos um erro de:

...erro: 'GENL_ID_GENERATE' não declarado...

Fiz algumas leituras e parece que isso é uma mudança desde o kernel 4.11+, mas o RHEL7.5 é baseado no kernel 3.10+. O que aconteceu?

De qualquer forma, sei que o valor de GENL_ID_GENERATE é simplesmente 0. Mas posso usar 0 para substituir a macro? Haverá um problema com o módulo do modo de usuário para se comunicar com este módulo do kernel?

Ou qual deve ser a maneira correta de corrigir o problema? Algum conselho?

Obrigado e cumprimentos, Weishan

Quanto à vulnerabilidade de segurança "Spectre", o "Retpoline" foi introduzido para ser uma solução para mitigar o risco. No entanto, li um post que mencionava:

Se você construir o kernel sem CONFIG_RETPOLINE, não poderá criar módulos com retpoline e esperar que eles carreguem - porque os símbolos de conversão não são exportados.

Se você construir o kernel com o retpoline, você pode carregar com sucesso os módulos que não são construídos com o retpoline. ( Fonte )

Existe uma maneira fácil e comum/genérica/unificada de verificar se o kernel está habilitado para "Retpoline" ou não? Eu quero fazer isso para que meu instalador possa usar a compilação adequada do módulo do kernel a ser instalado.