Отключение проверки подписей модулей ядра

Редактировал(а) atsarkov 21.06.2024 14:06

Подсистема ЗПС в конфигурации по умолчанию блокирует загрузку ядром ОС модулей, которые не подписаны верной электронной подписью (ЭП), что повышает безопасность, усложняя загрузку вредоносного кода в ядро ОС.

Такие модули ядра могут содержаться в ПО, которое не входит в состав ОС, например,VirtualBox, и может быть недоверенным.

Решение о использовании недоверенного ПО возможно по решению главного конструктора/архитектора автоматизированной/информационной системы с учетом модели угроз.

Производители ПО могут получить (сгенерировать самостоятельно) ключи для подписи ПО и модулей в частности, согласно инструкции  и подписать модули согласно общей инструкции по подписи ПО или отдельной инструкции для модулей ядра

Выявить факт блокирования загрузки ядром неподписанных модулей  можно следующей командой:

sudo dmesg -k | grep 'unsigned module'

при условии наличия в выводе сообщений вида:

Loading of unsigned module is rejected (Загрузка неподписанного модуля отклонена)

Отключение проверки электронных подписей модулей ядра ОС можно выполнить двумя способами:

  1. Временно, для этого необходимо при загрузке ОС в меню GRUB добавить параметр ядра:
module.sig_enforce=0
  1. На постоянной основе:
  • В файле /etc/default/grub в строку GRUB_CMDLINE_LINUX_DEFAULT="quiet" добавить параметр module.sig_enforce=0

Пример:

GRUB_CMDLINE_LINUX_DEFAULT="quiet module.sig_enforce=0"
  • Выполнить обновление конфигурации загрузчика (GRUB) командой:
sudo update-grub
  • Перезагрузить компьютер