Ubuntu 18.04 + secure boot + własnościowe sterowniki Nvidii

OkropNick · 25 Wrzesień 2018 17:31

Cześć.

Mam w systemie dodane PPA http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu i stamtąd dociągają i instalują się sterowniki. Niestety jeszcze nie wiem jak pogodzić ze sobą chęć korzystania z “secure boot” wraz z takimi sterownikami. Gdy wyłączę “secure boot”, sterowniki te się ładują, gry śmigają aż miło. Gdy włączę “secure boot” wygląda na to, że system korzysta ze sterowników dostarczonych przez Canonical, gry wleką się niemiłosiernie, a narzędzia takie jak “nvidia-settings” czy “nvidia-smi” nie uruchamiają się. Podejrzewam, że wynika to z niepodpisania tych sterowników kluczem, który jest gdzieś w UEFI (???). Jestem w tym temacie zielony, ale chciałbym po prostu móc korzystać z “secure boot” wraz z najnowszymi sterownikami od Nvidii. Wynika to z faktu, iż mam uruchomione szyfrowanie całego systemu, bez /boot - a jeśli mam wyłączony “secure boot”, to można tam namieszać i szyfrowanie na nic się nie zda, jeśli kernel będzie z “toksycznym” dodatkiem.

Jakieś sugestie, co zrobić by sterowniki te były podpisywane za każdym razem gdy się zaktualizują? Ostatecznie choćby i ręcznie.

Czyżbym znalazł rozwiązanie?

gist.github.com

https://gist.github.com/Garoe/74a0040f50ae7987885a0bebe5eda1aa

create-efi-keys.sh

# VERY IMPORTANT! After each kernel update or dkms rebuild the modules must be signed again with the script
# ~/.ssl/sign-all-modules.sh

# Place all files in ~/.ssl folder
mkdir ~/.ssl
cd ~/.ssl

# Generate custom keys with openssl
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes  -subj "/CN=Owner/"

This file has been truncated. show original

Z góry dzięki.

przemek1234 · 25 Wrzesień 2018 19:50

Praktycznie nie do zrobienia. Musiałbyś wygenerować za pomocą SDK Intela własne klucze do Secure Boot, wgrać je do UEFI, ponownie skompilować i podpisać nimi cały bootloader i kernel oraz potem podpisać nimi drivery NVIDIA. Innej opcji nie ma. Oczywiście wtedy nie odpali Windows. Ten klucz, który jest w UEFI domyślnie, to klucz Microsoftu i tylko MS może nim podpisywać.

OkropNick · 25 Wrzesień 2018 19:53

Windows nie będzie problemem, nie używam od 11 lat. Zerknąłeś może na to?

gist.github.com

https://gist.github.com/Garoe/74a0040f50ae7987885a0bebe5eda1aa

create-efi-keys.sh

# VERY IMPORTANT! After each kernel update or dkms rebuild the modules must be signed again with the script
# ~/.ssl/sign-all-modules.sh

# Place all files in ~/.ssl folder
mkdir ~/.ssl
cd ~/.ssl

# Generate custom keys with openssl
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes  -subj "/CN=Owner/"

This file has been truncated. show original

Wygląda na to, że robi swoją robotę, ale na wirtusalnej maszynie tego nie sprawdzę, więc trochę się boję.

iHusky · 26 Wrzesień 2018 06:01

Powiem szczerze że osobiście bym nie ryzykował, bo potem można stracić więcej czasu na naprawianiu skutków aniżeli to warte zachodu. Po za tym secure boot w zamyśle ma nie dopuszczać do uruchomienia niepodpisanych modułów kernela, w tym także sterowników Nvidia (przecież musi załadować swoje moduły w kernelu by móc poprawnie pracować). Więc grzebanie przy tym nie ma sensu.

anon741072 · 5 Październik 2018 10:13

Gra nie warta świeczki. Szyfrowanie dysku jest wystarczające bez partycji /boot. Jeśli ktoś będzie potrafił tak sfabrykować kernel, aby ominąć szyfrowanie, to ominie też secureboot, ale takich umiejętności nie ma chyba nawet polska policja, więc na pewno nie ma przeciętny złodziej. No chyba że obawiasz się jakiś amerykańskich służb specjalnych.

OkropNick · 5 Październik 2018 11:10

@anon741072 - Dzięki. Nie obawiam się, mam tylko trochę prywatnych rzeczy plus setki tysięcy danych osobowych.

nintyfan · 5 Październik 2018 12:11

To w EFI może być tylko jeden klucz to sprawdzania podpisów?

OkropNick · 5 Październik 2018 12:12

@nintyfan z tego co wiem, to nie.