Отключение проверки подписей модулей ядра
Подсистема ЗПС в конфигурации по умолчанию блокирует загрузку ядром ОС модулей, которые не подписаны верной электронной подписью (ЭП), что повышает безопасность, усложняя загрузку вредоносного кода в ядро ОС.
Такие модули ядра могут содержаться в ПО, которое не входит в состав ОС, например, VirtualBox, и может быть недоверенным. Решение о использовании недоверенного ПО возможно по решению главного конструктора/архитектора автоматизированной/информационной системы с учетом модели угроз.
Выявить факт блокирования загрузки ядром неподписанных модулей можно следующей командой:
$ sudo dmesg -k | grep 'unsigned module'
при условии наличия в выводе сообщений вида:
Loading of unsigned module is rejected (Загрузка неподписанного модуля отклонена)
Отключение проверки электронных подписей модулей ядра ОС можно выполнить двумя способами:
- Временно, для этого необходимо при загрузке ОС в меню GRUB добавить параметр ядра
module.sig_enforce=0 - На постоянной основе:
- В файле /etc/default/grub в строку
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
добавить параметр:
module.sig_enforce=0
пример:
GRUB_CMDLINE_LINUX_DEFAULT="quiet module.sig_enforce=0" - Выполнить обновление конфигурации загрузчика (GRUB) командой:
sudo update-grub - Перезагрузить компьютер
- В файле /etc/default/grub в строку