Administrace komentářů

tak mi to nedalo a zprovoznil sem SecureBoot v "virt-manager", vyzkousel a VBox pri pusteni hlasil error ze nejsou podepsane ovladace:

You must sign these kernel modules before using VirtualBox:
vboxdrv vboxnetflt vboxnetadp vboxpci
See the documenatation for your Linux distribution..

na netu sem nasel neci "zapisek" Signing VirtualBox Kernel Modules
s tim se podarilo podepsat(po rucnim vyvolani vytvoreni vbox kernel modulu) ale VirtulBox pri startu(?)/rebootu mi ty podepsane smazal, takze sem sel po vboxdrv systemd sluzbe a dostal se k /usr/lib/virtualbox/vboxdrv.sh kterej ty moduly pripravuje a mel by je i podepisovat, ale:
1. ocekava ze uzivatel pripravi MOK klice sam
2. i kdyz je v vboxdrv.sh uvedeno ze podepisovani pak jde i v Debian 10, tak to maji spatne, protoze ocekavaji nastroj kmodsign z baliku sbsigntool, v Ubuntu je, ale v Debianu10 ten balik nastroj neobsahuje, nicmene stejnou sluzbu dela i sign-file kterej je soucast (jak v Ubuntu tak Debianu) baliku linux-headers-${verzejadra}... takze sem upravil vboxdrv.sh (btw: pro jistotu upozornuju ze jde o chybu v baliku virtualbox-6.0 od tvurcu VirtualBoxu) aby pouzival sign-file a na zaklade puvodniho "zapisku" trochu upravil ten skript na generovani MOK klicu... takze postup: ulozit patch soubor z prilohu a v adresari kam se ulozi:

patch -d / -p1 </root/vbox601-debian10-fix-signing.patch

vyrvorit script pro vytvoreni klice:

sudo nano /usr/local/bin/create_mok_keys.sh

do nej zkopirovat nasledujici a ulozit:

#!/bin/sh

OUT_DIR="/var/lib/shim-signed/mok"
name="$(getent passwd $(whoami) | awk -F: '{print $5}')"

create_mok(){
    echo "Creating MOK priv and pub keys in path: ${OUT_DIR}"
    mkdir -p ${OUT_DIR}
    openssl req -new -x509 -newkey rsa:2048 -nodes -keyout ${OUT_DIR}/MOK.priv -outform DER -out ${OUT_DIR}/MOK.der -days 36500 -subj "/CN=${name}/"
    chmod 600 ${OUT_DIR}/MOK*
}

enroll_mok(){
    echo "Enrolling MOK public key... set temporary password used at next boot"
    mokutil --import ${OUT_DIR}/MOK.der
}

if [ -f ${OUT_DIR}/MOK.priv ]; then
    read -p "MOK key (${OUT_DIR}/MOK.priv) already exist, remove it? [y/n]" answer
    if [ "${answer}" = "y" ]; then
        rm -f ${OUT_DIR}/{MOK.priv,MOK,der}
        create_mok
    fi
else
    create_mok
fi

read -p "Enroll MOK key (${OUT_DIR}/MOK.priv) to EFI? [y/n]" answer
if [ "${answer}" = "y" ]; then
    enroll_mok
    echo "Now is need reboot and confirm/import enrolled MOK key..."
    echo "Enroll MOK/Continue/Yes/EnterPassword/Reboot"
fi

nastavit prava spusteni:

sudo chmod a+x /usr/local/bin/create_mok_keys.sh

a provest:

sudo create_mok_keys.sh

restartovat a potvrdit import klice v modreobrazovce: Enroll MOK/Continue/Yes/EnterPassword/Reboot
po restartu pustit vytvoreni modulu vcetne podepsani

sudo /sbin/vboxconfig

jeste je v tom nejakej problem a uz se mi nechtelo ho resit, ze pri tom to chce poresit klic do efi ale volanej "prikaz" pozaduje nastaveni hesla ale nezobrazuje se to v terminalu, pripadne to jeste zobrazi nabidku konfigurace SecureBoot kde je potreba vybrat ze NEcchci ho zakazovat...
v VirtualBox uz mi pak slo pustit virtual bez erroru...

pro jistotu jeste jednou pripominam tazateli ze je to chyba tvurcu VirtualBoxu, kdy NEoverili ze nastroj kmodsign v Debian10 NEni a nepouzili misto toho sign-file kterej v Debian i Ubuntu je, stejne tak je jejich problem ze nepridali generovani MOK klice kdyz je to jen parradkovej skript co sem napsal vejs ^^ i jakozto NEtvurce i NEuzivatel VirtualBoxu