Modules signen met SecureBoot - Ubuntu wel, Mint niet?

Sinds kernel 4.4.0-20 is het op Ubuntu (smaken) verplicht om kernel modules te 'signen' als je SecureBoot aan hebt staan. Als je dat niet doet, laden de modules niet. Zo kan je bijvoorbeeld geen VirtualBox meer draaien in een volledig up-to-date 16.04.1 systeem met SecureBoot aan als je geen 'gesignde' modules hebt. Hoe dat signen dan in zijn werk gaat, staat prachtig beschreven in dit topic en dat werkt uitstekend.

Side-note: Op bepaalde Lenovo laptops moet je eerst nog shim updaten vanwege een afwijking in de UEFI BIOS.

Ik heb VirtualBox weer aan de praat gekregen op mijn Ubuntu Gnome 16.04.1 laptop op deze manier.
Ik heb een andere laptop met Linux Mint Sarah (18.0)... deze heeft exact dezelfde Ubuntu kernel als mijn Ubuntu Gnome laptop en ook hier staat SecureBoot aan. Het gekke is dat VirtualBox op deze laptop gewoon wil draaien zonder dat ik de modules hoef te 'signen', terwijl dat bij Ubuntu Gnome niet wil.

Ik heb mijn hoofd erover gebroken en gezocht... maar niet gevonden. En ik wil het weten, omdat ik het wil snappen. Waarom wil het op de ene laptop wel en op de andere niet als je de modules niet 'signed', terwijl ze dezelfde kernel hebben?

Blokker_1999 schreef op dinsdag 23 augustus 2016 @ 12:32:
Heel eenvoudig.

Men kan in de kernel config kiezen of men een verificatie van de modules wenst of niet onder loadable modules:

--- Enable loadable module support
[*]   Module signature verification
[*]     Require modules to be validly signed
[*]     Automatically sign all modules
      Which hash algorithm should modules be signed with? (Sign modules with SHA-512) --->

Linux Mint zal er dus voor opteren om de verificatie niet te verplichten terwijl Canonical dit nu wel verplicht stelt.

Het is ook mogelijk om een handtekening te vereisen dmv een boot parameter: enforcemodulesig=1

Ja daar had ik ook even aan gedacht, maar dat zou dan betekenen dat Mint weliswaar dezelfde kernel gebruikt, maar 'm anders compileert... (dat staat negens, maar dat zou kunnen).

Ik ga die kernel parameter een keer aanzetten (had dat nog niet gevonden , maar idd) op mijn Mint box vanavond en dan kijken of het inderdaad dan niet meer werkt. Wordt vervolgt.

Blokker_1999 schreef op dinsdag 23 augustus 2016 @ 12:32:
Heel eenvoudig.

Men kan in de kernel config kiezen of men een verificatie van de modules wenst of niet onder loadable modules:

--- Enable loadable module support
[*]   Module signature verification
[*]     Require modules to be validly signed
[*]     Automatically sign all modules
      Which hash algorithm should modules be signed with? (Sign modules with SHA-512) --->

Linux Mint zal er dus voor opteren om de verificatie niet te verplichten terwijl Canonical dit nu wel verplicht stelt.

Het is ook mogelijk om een handtekening te vereisen dmv een boot parameter: enforcemodulesig=1

De diff tussen beide kernel configs laat geen verschillen zien, dus daar zit het niet in. Kennelijk wordt het ergens anders gezet, maar ben er nog niet achter waar. De kernel paramter waar jij het over hebt moet zijn: module.sig_enforce=1 en niet enforcemodulesig=1, zie hier. Als ik die instel op mijn Mint bak dan werkt VirtualBox inderdaad niet meer.

Dank, je hebt me op het juiste spoor gezet, al is het nog een mysterie waar de optie in Mint wordt gedisabled... /etc/default/grub laat ook geen verschillen zien...

++++
Edit: volgens mij is het verschil te verklaren omdat Mint überhaupt geen efi-signed kenel laadt default en Ubuntu wel tegenwoordig.

[ Voor 4% gewijzigd door Jack Flushell op 23-08-2016 18:19 ]