Отключение проверки подписей модулей ядра

Редактировал(а) Александр Задорнов 2023/06/26 13:58

Подсистема ЗПС в конфигурации по умолчанию блокирует загрузку ядром ОС модулей, которые не подписаны верной электронной подписью (ЭП), что повышает безопасность, усложняя загрузку вредоносного кода в ядро ОС.

Такие модули ядра могут содержаться в ПО, которое не входит в состав ОС, например, VirtualBox, и может быть недоверенным. Решение о использовании недоверенного ПО возможно по решению главного конструктора/архитектора автоматизированной/информационной системы с учетом модели угроз.

Производители ПО могут получить (сгенерировать самостоятельно) ключи для подписи ПО и модулей в частности, согласно инструкции  и подписать модули согласно общей инструкции по подписи ПО или отдельной  инструкции для модулей ядра

Выявить факт блокирования загрузки ядром неподписанных модулей  можно следующей командой:
$ sudo dmesg -k | grep 'unsigned module'
при условии наличия в выводе сообщений вида:
Loading of unsigned module is rejected (Загрузка неподписанного модуля отклонена)

Отключение проверки электронных подписей модулей ядра ОС можно выполнить двумя способами:

  1. Временно, для этого необходимо при загрузке ОС в меню GRUB добавить параметр ядра
    module.sig_enforce=0
  2. На постоянной основе:
    • В файле /etc/default/grub в строку

      GRUB_CMDLINE_LINUX_DEFAULT="quiet"
      добавить параметр:
      module.sig_enforce=0
      пример:
      GRUB_CMDLINE_LINUX_DEFAULT="quiet module.sig_enforce=0"

    • Выполнить обновление конфигурации загрузчика (GRUB) командой:
      sudo update-grub
    • Перезагрузить компьютер