Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On 1/30/23 17:09, Andrey Jr. Melnikov wrote: Дык, это задача dkms подписывать автоматически собранные модуля. Там правда как всегда за последние пол года всё сломали три раза, но вроде последние релизы dkms умеют отличать unsigned модули от signed и не падать после сборки (подписывать при наличии ключей если это действительно требуется). И вправду, только вот проапдейтил одну машину с nvidia и там лог выглядит вот так: ``` Building module: Cleaning build area... env NV_VERBOSE=1 make -j8 modules KERNEL_UNAME=6.1.0-2-amd64 Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia.ko Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-modeset.ko Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-drm.ko Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-uvm.ko Signing module /var/lib/dkms/nvidia-current/510.108.03/build/nvidia-peermem.ko ```
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Зиганшин Руслан wrote: > [-- text/plain, encoding base64, charset: UTF-8, 5 lines --] > Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на > проблему: А можно поинтересоваться - зачем? Если кто-то получил физический доступ к машине, он свой shim принесёт, подписанный тем-же микрософтом и загрузится. Удалишь ключи от M$ (ну если сможешь конечно) - поимеешь незапускаемый видео-биос и отсутствие видеокарты. Или у тебя есть coreboot для своей платы? > $ cd "$MODULES_DIR/updates/dkms" > bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла > или каталога Дык, это задача dkms подписывать автоматически собранные модуля. Там правда как всегда за последние пол года всё сломали три раза, но вроде последние релизы dkms умеют отличать unsigned модули от signed и не падать после сборки (подписывать при наличии ключей если это действительно требуется).
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On 1/30/23 14:29, Зиганшин Руслан wrote: Сейчас драйвера временно удалены, но вообще они были установлены командой sudo apt install nvidia-driver. P.S. Сейчас подумал, что, возможно, помешало то, что первоначально драйвера устанавливал от bullseye, а ядро от bullseye-updates. Если дело в этом, то предстоит также выяснить, как установить приоритет драйверов для updates, поскольку там, как ни странно, более старая версия, чем в bullseye. По ссылке указанной ранее: Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на проблему: > cd "$MODULES_DIR/updates/dkms" # For dkms packages То есть ожидается что установлен nvidia-kernel-dkms который кладёт драйвер в эту папку. Как можно подписывать что-то, если оно не установлено?
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Сейчас драйвера временно удалены, но вообще они были установлены командой sudo apt install nvidia-driver. P.S. Сейчас подумал, что, возможно, помешало то, что первоначально драйвера устанавливал от bullseye, а ядро от bullseye-updates. Если дело в этом, то предстоит также выяснить, как установить приоритет драйверов для updates, поскольку там, как ни странно, более старая версия, чем в bullseye. пн, 30 янв. 2023 г., 21:10 Tim Sattarov : > On 1/30/23 12:47, Зиганшин Руслан wrote: > > Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на > проблему: > > $ cd "$MODULES_DIR/updates/dkms" > bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого > файла или каталога > > > А откуда установлены драйвера сейчас? Этот путь есть только там, где есть > dkms дрова... > > ``` > $ ls -l $MODULES_DIR/updates/dkms/nvidia-current* > -rw-r--r-- 1 root root 150373 Jan 27 09:15 > /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-drm.ko > -rw-r--r-- 1 root root 46155045 Jan 27 09:15 > /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current.ko > -rw-r--r-- 1 root root 1554549 Jan 27 09:15 > /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-modeset.ko > -rw-r--r-- 1 root root 7101 Jan 27 09:15 > /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-peermem.ko > -rw-r--r-- 1 root root 2321037 Jan 27 09:15 > /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-uvm.ko > ``` >
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On 1/30/23 12:47, Зиганшин Руслан wrote: Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на проблему: $ cd "$MODULES_DIR/updates/dkms" bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла или каталога А откуда установлены драйвера сейчас? Этот путь есть только там, где есть dkms дрова... ``` $ ls -l $MODULES_DIR/updates/dkms/nvidia-current* -rw-r--r-- 1 root root 150373 Jan 27 09:15 /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-drm.ko -rw-r--r-- 1 root root 46155045 Jan 27 09:15 /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current.ko -rw-r--r-- 1 root root 1554549 Jan 27 09:15 /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-modeset.ko -rw-r--r-- 1 root root 7101 Jan 27 09:15 /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-peermem.ko -rw-r--r-- 1 root root 2321037 Jan 27 09:15 /lib/modules/6.1.0-1-amd64/updates/dkms/nvidia-current-uvm.ko ```
Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Следуя инструкции на https://wiki.debian.org/SecureBoot, я натыкаюсь на проблему: $ cd "$MODULES_DIR/updates/dkms" bash: cd: /lib/modules/6.0.0-0.deb11.6-amd64/updates/dkms: Нет такого файла или каталога
