模块"ashmem“不带安全引导启动加载(但”绑定“加载与安全启动)

Question

摘要

我在UEFI系统上运行Ubuntu20.04.1，默认内核5.4.0-42-泛型(从Main安装)。我希望加载两个内核模块("ashmem“和"binder")，并启用安全引导。至少对我来说，在启用安全启动的情况下，“绑定器”加载得很好，但是"ashmem“没有在启用安全启动的情况下加载。这两个模块加载安全启动禁用。

详细信息

内核包(从Main安装)

• linux-headers-5.4.0-42
• linux-headers-5.4.0-42-generic
• linux-image-5.4.0-42-generic
• linux-modules-5.4.0-42-generic
• linux-modules-extra-5.4.0-42-generic

安全启动禁用

在禁用了安全引导之后，我可以使用以下方法加载模块"ashmem“：

sudo modprobe ashmem_linux

此外，在禁用了安全引导之后，我可以使用以下方法加载模块"binder“：

sudo modprobe binder_linux

所以，所有的安全启动禁用都是好的。

启用

安全启动的

启用安全启动后，我无法使用以下方法加载模块"ashmem“：

sudo modprobe ashmem_linux

在尝试这样做时，我得到以下信息：

modprobe: ERROR: could not insert 'ashmem_linux': Operation not permitted

但是，即使启用了安全引导，我仍然可以使用以下方法加载模块“绑定器”，而不会出现任何问题：

sudo modprobe binder_linux

因此，我很困惑为什么“绑定器”加载了安全启动，而"ashmem“却没有通过启用安全启动加载。

不管它的价值是什么，我在使用安全启动时还没有遇到任何其他问题。

问题

1. 是否有办法强制"ashmem“加载安全启动启用？
2. 无法使用安全引导加载"ashmem“是一个特性还是一个bug？
3. 如果它是一个bug，哪里的Launchpad将是最好的地方报告错误？

增编

对于上面的内容，我要补充的是，在Ubuntu20.04的初始清洁安装过程中，我已经启用了安全启动(并注册了MOK)。尽管如此，按照林茨风提供的优秀建议，我在初始安装之后运行了以下命令：

sudo kmodsign sha512 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /lib/modules/`uname -r`/kernel/drivers/staging/android/ashmem_linux.ko

在运行上述程序之后，我重新运行：

sudo modprobe ashmem_linux

sudo modprobe binder_linux

lsmod | grep -e ashmem_linux -e binder_linux

成功！“灰烬”和“活页夹”都装好了！谢谢林茨风!！

而且，安波克现在为我启动时启用了安全启动，这是我的最终目标。:)

考虑到“ashmem”和“binder”现在都为我加载了安全启动，我正在标记这个问题的答案。但是，我注意到了另一个关于“绑定器”模块的错误。对于那些感兴趣的人，我发布了一个与错误这里相关的问题。

Answer 1

你需要在模块上签名。看起来可以用以下方法来完成：

kmodsign sha512 /var/lib/shim-signed/mok/MOK.priv /var/lib/shim-signed/mok/MOK.der /lib/modules/`uname -r`/kernel/drivers/staging/android/ashmem_linux.ko