安装16.04时,如果我想安装3rd 方模块/驱动程序,我被要求关闭“安全启动” 。
我没有遵守。
当我手动安装我使用的唯一 3rd 方驱动程序 ( bcmwl-kernel-source ) 时,我再次被要求(在安装包期间)关闭“安全启动”。
在15.10中使用bcmwl-kernel-source与Secure Boot非常好。这似乎与我的错误无关。
因此,这看起来确实像 Ubuntu 拒绝签署 3rd 方驱动程序/模块以使其工作(??)与“安全启动”。或者似乎认为 3rd 方模块不安全并破坏“安全启动”,因此强制禁用它以使其清楚?我对吗 ?
这不是一个错误,它是一个功能。
正如 Anthony Wong 所说,当您安装 DKMS 包时,您正在自己编译该包,因此,Canonical 无法为您签署该模块。
但是,您绝对可以使用 Secure Boot,但这正是 Secure Boot 试图保护您免受自己侵害的用例,因为它无法知道您是否信任某个模块。
默认情况下,您的 UEFI 机器上有一个平台密钥 (PK),它是最终受信任的证书颁发机构,用于在您的处理器中加载代码。
GRUB 或 shim 或其他启动机制可以由受根 CA (PK) 信任的 KEK 进行数字签名,因此您的计算机无需任何配置即可启动 Ubuntu Live USB/DVD 等软件。
在 Ubuntu 16.04 上,内核是使用 CONFIG_MODULE_SIG_FORCE=1 构建的,这意味着内核将强制模块由平台中的受信任密钥签名。考虑到 UEFI 平台默认包含一个您无法控制的 PK,因此您无法使用您自己的机器识别的密钥对二进制文件进行签名。
有些人对此表示抨击和咆哮,但实际上没有更好的方法(从安全角度来看),而不是让您自己注册您想要的新密钥。
如果您的引导系统使用 shim,您可以使用称为 Machine Owner's Key 数据库的东西,并将您的密钥注册为MOK(您可以使用 mokutil 来做到这一点)。如果不这样做,您也可以在 UEFI 数据库中注册您的密钥作为签名密钥。
注册密钥后,您可以使用 MOK 对 DKMS 构建的包进行签名(应该有一个 perl 脚本
/usr/src/kernels/$(uname -r)/scripts/sign-file),签名后,您可以将其加载到内核中。诚然,有人应该对此做出更多的视觉说明,甚至可能制作一个向导或更好的 DKMS 标准以允许考虑密钥,但这就是我们现在所拥有的。
你可以参考这个解释如何签署你自己的内核模块:https ://askubuntu.com/a/768310/12049
简而言之,这不是错误,而是 16.04 中引入的新更改。
因为你正在安装的是一个 dkms 包。DKMS 模块是在您自己的机器上编译的,因此 Canonical 无法为您签署该模块。如果 Canonical 无法对其进行签名,则无法对其进行数字验证。如果您打开了安全启动,则意味着您的模块无法使用,为了使用它,您必须关闭安全启动,这就是您被问到问题的原因。
为什么它只发生在 16.04 而不是在以前的版本中,Rod Smith 给出了一个很好的答案。在 Ubuntu 16.04 中,Ubuntu 开始强制安全启动到内核级别。在 16.04 之前,即使您打开了安全启动,Ubuntu 也不会真正强制您使用签名内核和签名内核模块。但在 16.04 中不再是这种情况。
这是相关的错误:https ://bugs.launchpad.net/ubuntu/+source/grub2/+bug/1401532
这是相关的蓝图:https ://blueprints.launchpad.net/ubuntu/+spec/foundations-x-installing-unsigned-secureboot
另一种方法是创建您自己的密钥,将公共部分插入 MOK 数据库并使用私有部分对您编译的模块进行签名。在这里查看详细信息:升级到 Ubuntu 16.04 后无法加载“vboxdrv”(我想保持安全启动)
接受的答案非常完整,但我想添加这个简单的信息,取自这里:
https://askubuntu.com/a/843678/664391
基本上安全启动可能会阻止您加载您安装的某些驱动程序,这可能会非常令人沮丧。我自己也经历过:驱动程序安装正确,一切似乎都很好,但它只是没有用。我花了一些时间才发现它是安全启动阻止操作系统加载它。