概述
J6X系统在release编译时支持内核模块签名验证,仅加载使用正确密钥进行数字签名的内核模块。禁止加载未签名的内核模块或使用错误密钥签名的内核模块,客户需要替换成自己的key进行签名。
模块签名启用后,Linux内核将仅加载使用正确密钥进行数字签名的内核模块。禁止加载未签名的内核模块或使用错误密钥签名的内核模块来进一步强化系统安全。
关于内核模块签名的介绍请看下文:
关于内核模块签名的介绍请看下文:
配置
内核配置选项
在menuconfig中选中CONFIGMODULESIG,对应生成的config就被默认选中相关配置来支持模块签名。
配置说明
+----------------------------+----------------------------------------------+
| 项目 | 描述 |
+==========================+============================================+
| CONFIGMODULESIGFORCE | 对于严格的方法,必须存在有效的签名 |
+----------------------------+----------------------------------------------+
| CONFIGMODULESIGALL | 内核模块不自动签名,该选项自动签名所有模块 |
+----------------------------+----------------------------------------------+
| 项目 | 描述 |
+==========================+============================================+
| CONFIGMODULESIGFORCE | 对于严格的方法,必须存在有效的签名 |
+----------------------------+----------------------------------------------+
| CONFIGMODULESIGALL | 内核模块不自动签名,该选项自动签名所有模块 |
+----------------------------+----------------------------------------------+
用于签名的\ 哈希算法\ :SHA-512
.. code:: text
CONFIG_MODULE_SIG_SHA512
CONFIG_MODULE_SIG_HASH="sha512"
密钥签名
执行签名可执行程序,使用密钥对内核模块进行签名。
Make ModuleInstall签名
将内核配置为对模块进行签名,则此签名将在内核编译make modulesinstall时进行签名了。
手动对ko签名
指定需要的证书(包括公钥)和私钥、哈希算法以及内核模块。
通过sign-file(可执行程序)使用密钥对要安装到内核的模块进行签名,命令格式如下:
+-------------------------------------------------------------------+
| sign-file sha512 module_signature.pem module_signature.x509 xx.ko |
| |
+-------------------------------------------------------------------+
| sign-file sha512 module_signature.pem module_signature.x509 xx.ko |
| |
+-------------------------------------------------------------------+
手动ko签名实例
SDK整编时有封装好的脚本可以用来自动签名,对于不用modulesinstall进行安装的模块,可以用如下脚本:
+-------------------------------------+
| sign_ko.sh xxx.ko # 传入驱动 |
| |
| sign_ko.sh dir # 传入驱动所在目录 |
| |
+-------------------------------------+
| sign_ko.sh xxx.ko # 传入驱动 |
| |
| sign_ko.sh dir # 传入驱动所在目录 |
| |
+-------------------------------------+
只用AppSDK时,需要直接使用下面的命令
+-------------------------------------------------------------------------+
| ./sign-file sha512 module_signature.pem module_signature.x509 xx.ko |
| |
+-------------------------------------------------------------------------+
| ./sign-file sha512 module_signature.pem module_signature.x509 xx.ko |
| |
+-------------------------------------------------------------------------+
发布版本中的签名
发布版本中会把签名密钥文件放在AppSDK中,给发布版本提供ko的时候可以直接用这些签名文件:
ls AppSDK/module_sig/
module_signature.pem module_signature.x509 sign-file
ls AppSDK/module_sig/
module_signature.pem module_signature.x509 sign-file
发布包里面也有AppSDK目录。
密钥
证书 (含公钥)\ :modulesignature.x509
私钥\ :modulesignature.pem
定制修改签名机制
要替换固定key,将新的key替换源码目录中的build_tools/hobot_tools/keys/下的私钥和证书即可,如下:
build_tools/hobot_tools/keys$ ls module_signature.*
module_signature.pem module_signature.x509
build_tools/hobot_tools/keys$ ls module_signature.*
module_signature.pem module_signature.x509
可以通过openssl创建自己的密钥对。
openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform PEM -out module_signature.pem -keyout module_signature.pem
${OUTPUT_BUILD_DIR}/kernel/certs/extract-cert module_signature.pem module_signature.x509 # 生成证书
openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform PEM -out module_signature.pem -keyout module_signature.pem
${OUTPUT_BUILD_DIR}/kernel/certs/extract-cert module_signature.pem module_signature.x509 # 生成证书
其中x509.genkey可以用linux下certs/default_x509.genkey;extract-cert工具是在支持模块签名编译中生成的。
#. 当key替换或者修改签名机制的时候,需要对工程目录进行清理:
删除生成目录中的内容,rm out/ -rf。
#. 清理完成后,重新编译系统去烧录验证。
#. 通过strip命令去去除内核模块的签名。
+-------------------------------------------------------+
| aarch64-linux-gnu-strip -g ~/nfs/modulesigtest.ko |
+-------------------------------------------------------+
| aarch64-linux-gnu-strip -g ~/nfs/modulesigtest.ko |
+-------------------------------------------------------+
签名结果确认
1.dmesg grep -i x.509
使用新配置的内核重新启动。在dmesg的输出中,您应该能够确认加载了正确的证书:
root@hobot:~# dmesg | grep -i x.*509
[ 0.333727] Asymmetric key parser 'x509' registered
[ 2.068923] Loading compiled-in X.509 certificates
[ 2.152800] Loaded X.509 cert 'Build time autogenerated kernel key: 4e24f188419c7e1d5305f1d0ae2339286e1835c2'
[ 39.117796] [I|MIPI|hobot_mipi_csi_stl.c+252]:[RX4][STL]: module 509 reg done
root@hobot:~# dmesg | grep -i x.*509
[ 0.333727] Asymmetric key parser 'x509' registered
[ 2.068923] Loading compiled-in X.509 certificates
[ 2.152800] Loaded X.509 cert 'Build time autogenerated kernel key: 4e24f188419c7e1d5305f1d0ae2339286e1835c2'
[ 39.117796] [I|MIPI|hobot_mipi_csi_stl.c+252]:[RX4][STL]: module 509 reg done
2.cat /proc/keys
如果启用了CONFIGKEYSDEBUGPROCKEYS,那么 root
用户可以在/proc/keys文件中查看证书:
root@hobot:~# cat /proc/keys
...
0c5ec4d5 I------ 1 perm 1f030000 0 0 asymmetri Build time autogenerated kernel key: 4e24f188419c7e1d5305f1d0ae2339286e1835c2: X509.rsa 6e1835c2 []
用户可以在/proc/keys文件中查看证书:
root@hobot:~# cat /proc/keys
...
0c5ec4d5 I------ 1 perm 1f030000 0 0 asymmetri Build time autogenerated kernel key: 4e24f188419c7e1d5305f1d0ae2339286e1835c2: X509.rsa 6e1835c2 []
3.hexdump -C hobot-pcie.ko tail
内核模块在末尾附加了数字签名。一个简单的hexdump可以确认签名是否存在。
在ko文件的末尾有module signature appended的字样代表签名成功。
'/%3e%3cpath%20d='M8%200.5C12.1421%200.5%2015.5%203.85786%2015.5%208C15.5%2012.1421%2012.1421%2015.5%208%2015.5C3.85786%2015.5%200.5%2012.1421%200.5%208C0.5%203.85786%203.85786%200.5%208%200.5Z'%20fill='url(%23paint1_linear_0_45845)'%20stroke='white'/%3e%3cpath%20d='M10.0597%204.5332C10.031%204.5332%2010.0036%204.54817%209.98859%204.57313L8.09724%207.79442C8.02613%207.90046%207.84897%208.23731%207.5483%208.7875C7.37863%209.0969%207.25387%209.32771%207.17152%209.48615C7.1341%209.55727%207.0293%209.53855%207.01807%209.45871C6.97191%209.11936%206.89456%208.6066%206.78727%207.91793L6.2483%204.61804C6.24207%204.57812%206.20713%204.54942%206.16721%204.54942H4.28085C4.2297%204.54942%204.18977%204.59683%204.201%204.64798L5.71059%2012.1959C5.71808%2012.2346%205.75176%2012.2621%205.79044%2012.2621H7.46845C7.49715%2012.2621%207.52335%2012.2471%207.53832%2012.2234L12.1869%204.65796C12.2205%204.60307%2012.1806%204.5332%2012.117%204.5332H10.0597Z'%20fill='white'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_0_45845'%20x1='8.99711'%20y1='15.3526'%20x2='47.3575'%20y2='15.3526'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23AF86FF'/%3e%3cstop%20offset='1'%20stop-color='%23774EFF'/%3e%3c/linearGradient%3e%3clinearGradient%20id='paint1_linear_0_45845'%20x1='1.1152'%20y1='15.1368'%20x2='15.3888'%20y2='15.1368'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23AF86FF'/%3e%3cstop%20offset='1'%20stop-color='%23774EFF'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)