Linux系统解决“Key was rejected by service”

Linux系统下加载驱动模块出现如上错误提示的原因为:此驱动未经过签名。

方法一、关闭Secure Boot

如果是物理机,需要开机进入BIOS,找到"Secure Boot"的选项,然后关闭。

如果是虚拟机,可以打开虚拟设置,在如下选项中选择"",如下所示:

方法二、构建签名环境

1、安装软件包mokuli 和shim-signed

bash 复制代码
sudo apt install mokutil
sudo apt install shim-signed
sudo update-secureboot-policy --new-key

2、创建一个公共/私有RSA密钥对来对内核模块进行签名。以下示例将密钥对存储在/root/module-signing/目录中

复制代码
sudo -i
mkdir /root/module-signing
cd /root/module-signing
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=YOUR_NAME/"
chmod 600 MOK.priv 

3、使用mokutil,一种导入或删除机器所有者密钥(MOK)的工具,导入公钥,然后在机器重新启动时注册它。此步骤中的密码需要记住,系统重启的时候需要输入。(删除公钥也需要此密码)

复制代码
mokutil --import /root/module-signing/MOK.der
input password:
input password again:

注:如果执行此步骤遇到错误:EFI variables are not supported on this system,是因为此机器没有开启UEFI,如是物理机直接修改BIOS,如果是VMware虚拟机,则需要在虚拟机设置里开启。如下所示:

4、重新启动机器。当引导程序启动时,会看到一个屏幕,要求按下按钮进入MOK管理器EFI实用程序。请注意,在此步骤中,任何外部外部键盘都无法工作。在第一个菜单中选择Enroll MOK,然后继续,然后选择Yes以注册密钥,并重新输入步骤3中创建的密码。然后选择"确定"继续系统引导。

5、系统重启后,就可以使用公钥对目标驱动模块签名了,这里以USB转串口芯片CH340的Linux驱动模块ch341.ko为例,签名前的驱动模块信息:

使用如下命令对ch341.ko驱动文件签名:

bash 复制代码
1. sudo -i
2. /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 /root/module-signing/MOK.priv /root/module-signing/MOK.der ch341.ko 

查看签名后的驱动模块信息:

当驱动模块信息中包含"Module signature appended"信息,则说明驱动已经签名成功了。此时再加载驱动就不会提示:"Key was rejected by service"。

注:如未来内核更新将需要再次对更新后的内核进行签名,因此可以将签名命令放入脚本中,该脚本可以在以后根据需要运行。

参考:virtualbox - How to sign a kernel module Ubuntu 18.04 - Super User

相关推荐
道川贤林15 天前
OrangePi 系统启动优先级修改
linux·linux驱动·orangepi·u-boot
坤昱19 天前
cfs调度类深入解刨——pelt细节篇
linux·linux内核·cfs调度·eevdf·cfs调度类深入解刨·pelt·pelt细节篇
云游牧者22 天前
LXC 容器常用命令与核心配置参数详解
docker·容器化·linux运维·lxc·linux容器
Qt程序员22 天前
Linux RCU 原理与应用
linux·c++·内核·linux内核·rcu
程序员老舅23 天前
从内核视角,看Linux文件读写过程
linux·服务器·c++·内核·linux内核·vfs·linux内存
AF_INET623 天前
sensor笔记(一)imx415
c语言·经验分享·音视频·linux驱动·sensor·imx415·datasheet
行者-全栈开发1 个月前
【运维安全】CVE-2026-46333:Linux内核ptrace权限提升漏洞深度解析与修复指南
运维·linux内核·权限提升·ptrace·cve-2026-46333·ssh-keysign-pwn·安全修复
bsauce1 个月前
【kernel exploit】CVE-2026-23271 perf_event竞态UAF漏洞-ROP提权
linux·linux内核·内核漏洞·内核漏洞利用
坤昱1 个月前
cfs调度类深入解刨——最新内核细节分析3
linux·linux内核·deadline·cfs调度·eevdf·kernel 7.1·最新内核调度
JAVA坚守者1 个月前
实战修复 CVE-2022-46934 kkFileView XSS 漏洞 + POI 导出文件预览报错问题
linux运维·kkfileview·文件在线预览·cve-2022-46934·xss漏洞修复·openoffice升级·poi预览报错