Am 28.08.20 um 12:24 schrieb Manfred Kreisl:
Am 28.08.2020 um 07:23 schrieb Kyek, Andreas, Vodafone DE:
Michael Buchau wrote:
Am 27.08.20 um 14:21 schrieb Kyek, Andreas, Vodafone DE:
Hi,
für eine externe Hardware (cryptoserver) muss ich ein Modul kompilieren und auf meiner 15.2 laden. Das Kompilieren/Linken läuft fehlerfrei. "make install" und "depmod -a" ebenfalls. Beim Versuch, das Modul zu laden kommt "unsigned module loading is restricted".
Mein Problem - ich _brauche_ das Modul um die cryptohardware konfigurieren zu können.
Wie bekomme ich das (zumindest temporär) gebacken?
Mit dem Kernel-Parameter "module.sig_enforce=0" solltest du das hinbekommen.
Guter Plan - kannte ich noch nicht.
hat aber leider nicht funktioniert. Hier auf /v/l/m ein grep auf module:
(sind drei Zeilen, leider umgebrochen)
[ 0.000000] Command line: BOOT_IMAGE=/vmlinuz-5.3.18-lp152.36-default root=/dev/mapper/system-lvroot splash=silent resume=/dev/system/lvswap quiet module.sig_enforce=0 mitigations=auto [ 0.119818] Kernel command line: BOOT_IMAGE=/vmlinuz-5.3.18-lp152.36-default root=/dev/mapper/system-lvroot splash=silent resume=/dev/system/lvswap quiet module.sig_enforce=0 mitigations=auto [ 17.930917] Lockdown: modprobe: unsigned module loading is restricted; see man kernel_lockdown.7
Oder geht das so nicht?
Vielleicht ist ja CONFIG_MODULE_SIG_FORCE gesetzt, so wie ich das hier verstehe (https://www.kernel.org/doc/html/v4.15/admin-guide/module-signing.html) ist das eine Oder-Verknüpfung
Manfred
Auf Leap 15.2 ist CONFIG_MODULE_SIG_FORCE nicht gesetzt: test-leap:~ # uname -a Linux test-leap 5.3.18-lp152.36-default #1 SMP Tue Aug 18 17:09:44 UTC 2020 (885251f) x86_64 x86_64 x86_64 GNU/Linux test-leap:~ # zgrep -F SIG_FORCE /proc/config.gz # CONFIG_KEXEC_SIG_FORCE is not set # CONFIG_MODULE_SIG_FORCE is not set Wenn man dazu mal in den Quellcode in kernel/module.c schaut: static bool sig_enforce = IS_ENABLED(CONFIG_MODULE_SIG_FORCE); module_param(sig_enforce, bool_enable_only, 0644); Damit lässt sich die Option über die Kernel-Kommandozeile nur ein- und nicht ausschalten - durch die Sicherheitsbrille betrachtet macht das ja auch Sinn. Eine mögliche Erklärung für das Sig Enforcement wäre dann ein aktivierter SecureBoot - CONFIG_SECURITY_LOCKDOWN_LSM ist gesetzt. Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org