Tutoriel 📝 Créer un certificat pour signer des modules personnalisés sous Linux

[Sylvain*]

Créer un certificat pour signer des modules personnalisés sous Linux

Introduction

• Ce tutoriel montre comment créer un certificat personnalisé pour signer des modules non signés sous Linux. Cette étape est indispensable si votre système utilise Secure Boot, garantissant que seuls des modules approuvés sont chargés.

---

Prérequis

• Une distribution Linux prenant en charge UEFI Secure Boot.

• Un accès root ou sudo.

• Les outils OpenSSL et scripts de gestion des signatures (inclus dans le noyau Linux).

---

Méthodologie

• Introduire les deux approches principales :

• Méthode 1 : Création manuelle d’un certificat pour signer les modules.

• Méthode 2 : Automatisation avec des scripts Bash pour signer et gérer les modules.

---

Avantages des 2 méthodes

• Méthode 1 : Contrôle précis sur la configuration des certificats.

• Méthode 2 : Idéal pour déployer des certificats sur plusieurs systèmes.

---

Inconvénients des 2 méthodes

• Méthode 1 : Plus complexe et manuel.

• Méthode 2 : Nécessite des scripts bien conçus pour éviter des erreurs.

---

Étapes pour chaque méthode

• Méthode 1 : Création manuelle

Générez un certificat auto-signé :

openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 365 -subj "/CN=Module Signature"

Importez le certificat dans Secure Boot avec MOK :

sudo mokutil --import MOK.der

Signez le module avec le certificat :

sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 MOK.priv MOK.der /chemin/vers/votre/module.ko

Rechargez le module signé :

sudo modprobe nom_du_module

---

• Méthode 2 : Automatisation avec script Bash

Créez un script pour générer et appliquer les certificats :

#!/bin/bash
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 365 -subj "/CN=Module Signature"
sudo mokutil --import MOK.der
echo "Certificat importé. Redémarrez pour finaliser l’installation."

Rendez le script exécutable et exécutez-le :

chmod +x sign_module.sh && ./sign_module.sh

Signez vos modules après redémarrage.

---

Astuce

• Utilisez un script cron pour vérifier automatiquement que les modules chargés sont correctement signés.

---

Mise en garde

• Évitez de signer des modules non vérifiés ou provenant de sources non fiables, même avec un certificat personnalisé.

---

Conseil

• Documentez vos processus de signature et conservez vos clés dans un emplacement sécurisé.

---

Solution alternative

• Utilisez un certificat émis par une autorité de certification reconnue pour simplifier les validations dans Secure Boot.

---

Références

• Documentation du noyau Linux

• Recherche Google

---

Conclusion

• Avec ces étapes, vous pouvez signer des modules personnalisés sous Linux, permettant leur utilisation sur des systèmes utilisant Secure Boot tout en maintenant la sécurité du noyau.