Linux内核模块签名开启教程

本文详解了在Linux系统中启用内核模块签名验证的完整实践路径，帮助用户彻底解决“module verification failed”错误——从编译时自动签名、手动为已有模块添加数字签名，到通过`module.sig_enforce=1`强制运行时校验、将X.509公钥嵌入内核密钥环建立信任锚点，再到结合modprobe黑名单与审计规则构建纵深防御体系；无论您是维护生产环境内核、临时加载第三方驱动，还是追求高安全等级的合规部署，这套覆盖编译、签名、加载、验证与监控全链路的方案都能为您提供坚实可靠的安全保障。

如果您在Linux系统中部署自定义内核模块，但系统拒绝加载并提示“module verification failed: signature and/or required key missing”，则说明内核模块签名验证未启用或配置不完整。以下是开启内核模块签名与完成安全验证的多种配置方法：

一、启用内核编译时签名功能

该方法通过修改内核配置，在编译阶段自动为所有模块签名，适用于需长期稳定运行且模块来源可控的生产环境。其核心是激活签名开关并指定哈希算法与密钥路径。

1、进入内核源码目录，执行make menuconfig或直接编辑.config文件。

2、确保以下配置项被设为y：
CONFIG_MODULE_SIG=y
CONFIG_MODULE_SIG_ALL=y
CONFIG_MODULE_SIG_SHA512=y
CONFIG_MODULE_SIG_HASH="sha512"
CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"

3、若certs/signing_key.pem不存在，内核构建系统将按certs/x509.genkey模板自动生成RSA-4096密钥对。

4、执行make -j$(nproc)编译内核，再运行make modules_install，所有.ko模块将被自动追加签名数据。

二、手动签名已编译模块

该方法适用于已部署系统中临时加载第三方或外部编译模块，无需重新编译整个内核，依赖内核源码树中的sign-file工具完成签名操作。

1、确认系统已安装对应版本的kernel-devel或内核源码包，并可访问/lib/modules/$(uname -r)/build/路径。

2、准备私钥private_key.pem和对应X.509公钥证书signing_key.x509，二者须匹配且符合内核信任格式。

3、执行签名命令：
./scripts/sign-file sha512 private_key.pem signing_key.x509 /path/to/module.ko

4、使用modinfo /path/to/module.ko | grep 'signature\|signer'验证签名是否写入成功。

三、强制运行时签名验证

该方法通过引导参数或内核配置确保系统启动后仅允许已签名模块加载，是实现强制安全策略的关键环节，可有效阻止未签名模块污染内核空间。

1、编辑/etc/default/grub，在GRUB_CMDLINE_LINUX中添加：
module.sig_enforce=1

2、同时建议补充：
lockdown=confidentiality
以增强内核锁定级别，限制运行时模块操作权限。

3、执行grub2-mkconfig -o /boot/grub2/grub.cfg（RHEL/CentOS）或update-grub（Debian/Ubuntu）更新引导配置。

4、重启系统后，执行dmesg | grep "Loading signed modules"，应输出Loading signed modules is enforced确认生效。

四、将公钥嵌入内核密钥环

该方法确保内核在启动初期即加载可信公钥，为后续模块签名验证提供信任锚点。公钥必须以X.509 DER或PEM格式置于certs/目录并被编译进内核镜像。

1、将X.509证书文件（如signing_key.x509）复制到内核源码根目录下的certs/子目录。

2、确认CONFIG_SYSTEM_TRUSTED_KEYS未被禁用，且CONFIG_MODULE_SIG已启用。

3、编译内核时，构建系统会自动将certs/*.x509内容编译进vmlinux，并在启动时载入.system_keyring。

4、验证命令：
keyctl show %:.system_keyring
输出中应包含类型为asymmetric、描述含signing_key的密钥条目。

五、配置模块加载拦截机制

该方法作为运行时补充防护，通过modprobe黑名单与systemd服务依赖控制，防止未签名模块被意外或恶意调用加载。

1、创建/etc/modprobe.d/unsigned-blacklist.conf，添加：
blacklist module_name
其中module_name为待拦截的未签名模块名（不含.ko后缀）。

2、为关键模块加载服务添加安全依赖，在/usr/lib/systemd/system/modules-load.service中追加：
Requires=systemd-modules-load.service
并设置ConditionPathExists=/proc/sys/kernel/modules_disabled等运行时检查条件。

3、启用审计规则实时监控模块加载行为：
auditctl -w /lib/modules/ -p wa -k kernel_modules

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。