Tại sao tôi nhận được Mã khóa bắt buộc không có sẵn khi cài đặt các mô-đun hạt nhân của bên thứ 3 hoặc sau khi nâng cấp kernel?

Sự cố này chỉ xảy ra trên các hệ thống UEFI có bật Khởi động an toàn.

Khi tôi cố gắng cài đặt các mô-đun DKMS như trình điều khiển VirtualBox, Nvidia hoặc Broadcom, chúng không cài đặt và tôi nhận được Required key not availablekhi tôi thử modprobechúng.

VirtualBox phàn nàn rằng vboxdrvkhông được tải.

wlTrình điều khiển Broadcom được hiển thị lspci -kdưới dạng một mô-đun hạt nhân nhưng không được sử dụng. sudo modprobe wlném Required key not available.

Ngoài ra vấn đề này có thể xảy ra khi tôi cài đặt một số mô-đun hạt nhân từ các nguồn git.

Sự cố này có thể xuất hiện sau khi cập nhật kernel là bộ điều hợp không dây bị vô hiệu hóa, màn hình đen sau khi khởi động lại, v.v.

Làm thế nào tôi có thể sửa chữa nó?

Vì Ubuntu kernel 4.4.0-20, EFI_SECURE_BOOT_SIG_ENFORCEcấu hình kernel đã được kích hoạt. Điều đó ngăn không cho tải các mô-đun bên thứ ba không dấu nếu UEFI Secure Boot được bật.

Cách dễ nhất để khắc phục sự cố này là tắt Secure Boot trong cài đặt UEFI (BIOS).

Trong hầu hết các trường hợp, bạn có thể vào cài đặt UEFI bằng menu grub. Nhấn ESCnút khi khởi động, vào menu grub và chọn Cài đặt hệ thống. Tùy chọn Khởi động an toàn phải nằm trong phần "Bảo mật" hoặc "Khởi động" của UEFI.

Bạn có thể vào UEFI trực tiếp, nhưng nó phụ thuộc vào phần cứng của bạn. Đọc hướng dẫn sử dụng máy tính của bạn để xem làm thế nào để đạt được điều đó. Nó có thể Del, hoặc F2khi khởi động, hoặc một cái gì đó khác.

Một cách khác là vô hiệu hóa Secure Boot bằng cách sử dụng mokutil.

Vì Ubuntu kernel build 4.4.0-21.37, điều này có thể được sửa bằng cách chạy

sudo apt install mokutil
sudo mokutil --disable-validation

Nó sẽ yêu cầu tạo mật khẩu. Mật khẩu phải dài ít nhất 8 ký tự. Sau khi bạn khởi động lại, UEFI sẽ hỏi bạn có muốn thay đổi cài đặt bảo mật không. Chọn "Có".

Sau đó, bạn sẽ được yêu cầu nhập mật khẩu đã tạo trước đó. Một số phần mềm UEFI yêu cầu không phải mật khẩu đầy đủ, nhưng để nhập một số ký tự của nó, như thứ 1, thứ 3, v.v. Hãy cẩn thận. Một số người không hiểu điều này. Tôi cũng không nhận được nó từ lần thử đầu tiên ;-)

Cập nhật: Bây giờ cấu hình kernel này được kích hoạt trong tất cả các hạt nhân Ubuntu được hỗ trợ. Ubuntu 16.04, 15.10 và 14.04 bị ảnh hưởng.

Theo đề xuất của người dùng @zwets, tôi đang sao chép (có chỉnh sửa) một câu trả lời ở đây:

Vì phiên bản kernel 4.4.0-20, nên các mô-đun kernel không dấu sẽ không được phép chạy khi bật Secure Boot. Nếu bạn muốn giữ Secure Boot và cũng chạy các mô-đun này, thì bước hợp lý tiếp theo là ký các mô-đun đó.

Vì vậy, hãy thử nó.

1. Tạo khóa ký

   openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=Descriptive name/"
   

2. Ký mô-đun

   sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./MOK.priv ./MOK.der /path/to/module
   

Lưu ý 1 : Có thể có nhiều tệp được ký cho một trình điều khiển / mô-đun duy nhất, vì vậy /path/to/modulecó thể cần phải được thay thế bằng $(modinfo -n <modulename>), ví dụ:$(modinfo -n vboxdrv)

Lưu ý 2 : sudo kmodsign sha512 ./MOK.priv ./MOK.der /path/to/modulelà một thay thế nếu sign-filekhông có sẵn.

3. Đăng ký các phím để Khởi động an toàn

   sudo mokutil --import MOK.der
   

   Cung cấp mật khẩu để sử dụng sau khi khởi động lại

4. Rebootvà làm theo hướng dẫn để Ghi danh MOK (Khóa chủ sở hữu máy). Đây là một mẫu với hình ảnh. Hệ thống sẽ khởi động lại một lần nữa.

Nếu khóa đã được đăng ký đúng cách, nó sẽ hiển thị bên dưới sudo mokutil --list-enrolled.

Vui lòng cho tôi biết nếu các mô-đun của bạn sẽ chạy theo cách này trên Ubuntu 16.04 (tôi tin rằng trên kernel 4.4.0-21).

Tài nguyên: Bài viết trang web chi tiết để Fedora và Ubuntu thực hiện ký kết mô-đun. (họ đã làm việc với nó) ;-)

Tài nguyên bổ sung: Tôi đã tạo một tập lệnh bash để sử dụng cho riêng mình mỗi lần virtualbox-dkmsnâng cấp và do đó ghi đè lên các mô-đun đã ký. Kiểm tra vboxsignban đầu của tôi trên GitHub .

Ghi chú bổ sung cho ý thức bảo mật (thêm-): ;-)

Vì khóa riêng mà bạn đã tạo ( MOK.privtrong ví dụ này) có thể được sử dụng bởi bất kỳ ai có thể truy cập vào nó, nên giữ an toàn cho nó là một cách tốt. Bạn có thể chmodmã hóa ( gpg) nó hoặc lưu trữ ở nơi khác an toàn (r). Hoặc, như đã lưu ý trong nhận xét này , hãy xóa tùy chọn -nodestrong bước số 1. Điều này sẽ mã hóa khóa bằng cụm mật khẩu.

Bạn có thể tắt Khởi động an toàn (UEFI) trong BIOS theo các bước sau:

1. Khởi động lại máy của bạn và vào Menu BIOS (Trong trường hợp của tôi, nhấn F2)

2. Tìm kiếm Khởi động an toàn và thay đổi thành Di sản

Trong bo mạch chủ ASUS:

• Chuyển đến Chế độ nâng cao (F7)
• Đi vào tùy chọn Khởi động an toàn trong phần Khởi động
• Thay đổi "Chế độ Windows UEFI" bằng "Hệ điều hành khác"
• Lưu và khởi động lại để áp dụng cài đặt (F10)

Bạn cũng có thể Vô hiệu hóa Khởi động an toàn khi chạy có chữ ký shim sudo update-secureboot-policy. Đây trang wiki giải thích phương pháp này:

• Mở một thiết bị đầu cuối (Ctrl + Alt + T) và thực hiện chính sách sudo update-secureboot-rồi chọn Có.
• Nhập mật khẩu tạm thời từ 8 đến 16 chữ số. (Ví dụ: 12345678, chúng tôi sẽ sử dụng mật khẩu này sau
• Nhập lại cùng một mật khẩu để xác nhận.
• Khởi động lại hệ thống và nhấn bất kỳ phím nào khi bạn thấy màn hình xanh (quản lý MOK
• Chọn Thay đổi trạng thái Khởi động an toàn
• Nhập mật khẩu bạn đã chọn ở Bước 2 và nhấn Enter.
• Chọn Có để tắt Khởi động an toàn trong chữ ký shim.
• Nhấn phím Enter để hoàn tất toàn bộ quy trình.

Bạn vẫn có thể bật Secure Boot trong shim-ký lại. Chỉ cần thực hiện

sudo update-secureboot-chính sách - có thể thực hiện được và sau đó làm theo các bước trên