PKCS#7 signature not signed with a trusted key

grandtoubab · Juin 13, 2018, 6:52am

Salut
Je fais un test du noyau 4.17.0-rc3-amd64 d’experimental qui a ces parametres

/boot# grep CONFIG_MODULE_SIG config-4.17.0-rc3-amd64
CONFIG_MODULE_SIG=y
# CONFIG_MODULE_SIG_FORCE is not set
# CONFIG_MODULE_SIG_ALL is not set
# CONFIG_MODULE_SIG_SHA1 is not set
# CONFIG_MODULE_SIG_SHA224 is not set
CONFIG_MODULE_SIG_SHA256=y
# CONFIG_MODULE_SIG_SHA384 is not set
# CONFIG_MODULE_SIG_SHA512 is not set
CONFIG_MODULE_SIG_HASH="sha256"
CONFIG_MODULE_SIG_KEY=""

Ce qui fait que ces erreurs apparaissent au boot:


[    3.303965] PKCS#7 signature not signed with a trusted key
[    3.304146] button: module verification failed: signature and/or required key missing - tainting kernel
[    3.304460] input: Power Button as /devices/LNXSYSTM:00/LNXSYBUS:00/PNP0C0C:00/input/input2
[    3.304472] ACPI: Power Button [PWRB]

Y a t-il moyen d’éviter ça?

jb12 · Juin 13, 2018, 7:18am

bonjour,
sans me faire ramoner!
je ne suis pas sur du résultat,
-pour les doués, editeur de texte commentaire si c’est l’objectif,

pour ma rc1 j’ai fait:
-pour un point config minimmun make defconfifg
make menu config puis sortie
make j8
une grosse 1/2H
ensuite l’installation classique
ou l’outil Debian, il a refait les compils, 1/2H de plus
attention on manipule un config minimun,
cela permet de voir!
donc les patchs Debian, c’est un peu du latin pour moi!

pour ma dernière question, tu as un homonyme chez le cousin?

grandtoubab · Juin 13, 2018, 7:33am

rien à voir avec de la compilation perso, tu mélanges tout
il s’agit simplement ici de l’utilisation d’un noyau fourni par Debian dans le dépôt expérimental
noyau dans lequel une sécurisation des signatures des modules à été ajoutée

https://www.kernel.org/doc/html/v4.16/admin-guide/module-signing.html

En fait ce noyau n’a aucun pb sinon ce message PKCS#7 signature not signed with a trusted key répété plusieurs fois au démarrage

grandtoubab · Juin 13, 2018, 10:08am

je vais tester le non signé

 apt list   linux-image-4.17.0-rc3*
En train de lister... Fait
linux-image-4.17.0-rc3-686-dbg/experimental 4.17~rc3-1~exp1 i386
linux-image-4.17.0-rc3-686-pae-dbg/experimental 4.17~rc3-1~exp1 i386
linux-image-4.17.0-rc3-686-pae-unsigned/experimental 4.17~rc3-1~exp1 i386
linux-image-4.17.0-rc3-686-unsigned/experimental 4.17~rc3-1~exp1 i386
linux-image-4.17.0-rc3-amd64/experimental 4.17~rc3-1~exp1 amd64
linux-image-4.17.0-rc3-amd64-dbg/experimental 4.17~rc3-1~exp1 amd64
linux-image-4.17.0-rc3-amd64-unsigned/experimental,now 4.17~rc3-1~exp1 amd64  [installé]
linux-image-4.17.0-rc3-cloud-amd64/experimental 4.17~rc3-1~exp1 amd64
linux-image-4.17.0-rc3-cloud-amd64-dbg/experimental 4.17~rc3-1~exp1 amd64
linux-image-4.17.0-rc3-cloud-amd64-unsigned/experimental 4.17~rc3-1~exp1 amd64

apt install linux-image-4.17.0-rc3-amd64-unsigned/experimental

root@debian:/boot# uname --all
Linux debian 4.17.0-rc3-amd64 #1 SMP Debian 4.17~rc3-1~exp1 (2018-04-29) x86_64 GNU/Linux
root@debian:/boot# journalctl -xb | grep PKCS#7
root@debian:/boot#