A
хорошо, сначала подпишу, что уже обновил сейчас и создам)
Size: a a a
2020 February 02
A
да писать вроде не так и много, есть с чего слизать: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Kernel_Administration_Guide/sect-signing-kernel-modules-for-secure-boot.html
A
кстати, версия Федора гайда с багами, там в командах лишние символы
A
а вот сам пример скрипта был бы очень полезен
A
главное чтобы люди не искали убунту гайды, ибо там perl sign-file
A
ну я что нашел, то и заюзал, и оно работает)
A
поэтому через /usr/src/kernels/$(uname -r)/scripts/sign-file и подписываю
все равно лучше, чем без secure boot сидеть
все равно лучше, чем без secure boot сидеть
A
да, это я в статье увидел, просто по циклу пройти в extra/nvidia/*.ko и ок
A
бесит только то, что для sign-file ключ должен быть открыт и не зашифрован!
A
эмм, это если через openssl наверное уже, тогда и зашифрованный private key можно юзать
A
а чем занимается бинарник sign-key - неизвестно, вывод его крайне скуден
A
БЕЗ ПАРОЛЯ!
(таковы мануалы редхата и федоры 26)
(таковы мануалы редхата и федоры 26)
A
хм, как бы тебя уговорить статью тогда написать? :))))))))
A
ничего не знаю, юзаю и мне норм
A
да даже шифрованный приватный ключ в файле - уже норм решение
ибо я импортировал в MOK открытый, а приватный бери не хочу
ибо я импортировал в MOK открытый, а приватный бери не хочу
A
https://github.com/aneesh-neelam/UEFI-SecureBoot-SignTool
А тут оно вообще в /etc лежит
А тут оно вообще в /etc лежит
A
хммм, ну если смотреть с этой стороны, то уже да
тогда собственно проще отключить secure boot 😕
тогда собственно проще отключить secure boot 😕
A
а TPM ни пин, ничего не требует тоже?
A
но все равно перед обновлением надо как-то его разблокировать для свободного доступа любого скрипта к ключу
A
😐 интересная идея, только на SELinux надеяться?