Bu bir hata değil, bir özellik.
Anthony Wong'un dediği gibi, bir DKMS paketi kurduğunuzda paketi kendiniz derliyorsunuz, bu nedenle Canonical modülü sizin için imzalayamıyor.
Ancak, kesinlikle Secure Boot kullanabilirsiniz, ancak bu tam olarak Secure Boot'un sizi kendinizden korumaya çalıştığı bir durumdur çünkü bir modüle güvenip güvenmeyeceğinizi bilemez.
Varsayılan olarak , UEFI makinenizde, işlemcinize kod yüklemek için nihayetinde güvenilen Sertifika Yetkilisi olan bir Platform Anahtarı (PK) vardır.
GRUB, veya shim veya diğer önyükleme mekanizmaları , kök CA (PK) tarafından güvenilen bir KEK tarafından dijital olarak imzalanabilir ve bu nedenle bilgisayarınız, herhangi bir yapılandırma olmadan, Ubuntu Live USB / DVD'ler gibi önyükleme yazılımı yapabilir.
Ubuntu 16.04'te çekirdek CONFIG_MODULE_SIG_FORCE = 1 ile inşa edilmiştir, bu da çekirdeğin platformda güvenilir bir anahtar tarafından imzalanacak modülleri zorlayacağı anlamına gelir . UEFI platformunun varsayılan olarak üzerinde hiçbir kontrolünüz olmayan bir PK içerdiğini ve bu nedenle kendi makineniz tarafından tanınan bir anahtarla ikili dosyaları imzalayamayacağınızı dikkate alın.
Bazı insanlar buna karşı sertçe vurur ve öfkelenir, ancak (güvenlik açısından) istediğiniz yeni anahtarı kaydeden kendiniz olmaktan daha iyi bir yolu yoktur.
Eğer önyükleme sisteminiz şim kullanıyorsa, Makine Sahibinin Anahtarı veritabanı olarak adlandırılan bir şey kullanabilir ve anahtarınızı MOK olarak kaydedebilirsiniz (Bunu mokutil ile yapabilirsiniz). Bunu yapmazsanız, anahtarınızı UEFI veritabanına bir imza anahtarı olarak da kaydedebilirsiniz .
Anahtarınızı kaydettikten sonra DKMS tarafından oluşturulmuş paketinizi MOK'unuzla imzalayabilirsiniz (perl betiği olmalı /usr/src/kernels/$(uname -r)/scripts/sign-file
) ve imzalandıktan sonra çekirdeğe yükleyebilirsiniz .
Birisi, bu konuda daha görsel talimatlar vermeli ve muhtemelen anahtarların dikkate alınmasına izin vermek için muhtemelen bir sihirbaz veya daha iyi bir DKMS standardı yapmalıdır, fakat şu anda sahip olduğumuz şey bu.
Kendi çekirdek modüllerinizi nasıl imzalayacağınızla ilgili bu açıklamaya başvurabilirsiniz: https://askubuntu.com/a/768310/12049