ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Не подписало модули и теперь не грузятся | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | Sisyphus | Reporter: | Sergey V Turchin <zerg> | ||||||
| Component: | rpm-build-kernel | Assignee: | Gleb F-Malinovskiy <glebfm> | ||||||
| Status: | REOPENED --- | QA Contact: | qa-sisyphus | ||||||
| Severity: | normal | ||||||||
| Priority: | P5 | CC: | boyarsh, egori, glebfm, iv, kernelbot, ldv, mike, phideaux, rider, ruslandh, sbolshakov, shad, shrek, sin, vitty, vsu, vt, zerg | ||||||
| Version: | unstable | ||||||||
| Hardware: | x86_64 | ||||||||
| OS: | Linux | ||||||||
| Attachments: |
|
||||||||
|
Description
Sergey V Turchin
2026-05-13 12:42:07 MSK
По отзывам с выключенным SecureBoot модули грузятся. (Ответ для Sergey V Turchin на комментарий #1) > По отзывам с выключенным SecureBoot модули грузятся. Добрый день. Подтверждаю. SecureBoot = Disabled карта в режиме дискретная (встройка выключена в биос) работает нормально, включая игры + внешний монитор по DP частота 240.30Гц NVIDIA GeForce RTX 4050 Max-Q / Mobile [Discrete] Linux 6.18.29-6.18-alt1 GNOME 50.1 С подписыванием модулей вылезло столько проблем, что я в эту тему в своё время лезть не стал вообще. Кто-то может сказать, можно ли мне что-то сделать? Пересборку модулей запустить или ещё что? Или просто ждать починки? Created attachment 21357 [details]
Сравнение опций ядер
Created attachment 21360 [details] Картинка с сравнением опций Прочёл https://download.nvidia.com/XFree86/Linux-x86_64/580.142/README/installdriver.html#modulesigning Что натолкнуло на мысль сравнить конфиги ядер, сравнил из того, что было под рукой ;-) Похоже проблема в опциях CONFIG_SYSTEM_TRUSTED_KEYS и т.п. Выяснил, что: "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" Кто знает, как запросить такой апров? На всякий сделал сборку https://packages.altlinux.org/ru/tasks/417992/ 2 glebfm: если теперь неподписанные модули не грузяться, то сборочные задания с неподписанными модулями не должны проходить в репозиторий? (In reply to Sergey V Turchin from comment #7) > Выяснил, что: > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > Кто знает, как запросить такой апров? Добавил в группу. (In reply to Sergey V Turchin from comment #8) > 2 glebfm: если теперь неподписанные модули не грузяться, то сборочные > задания с неподписанными модулями не должны проходить в репозиторий? Да, можно сделать, например, installcheck вроде того, который сделан в пакете grub для проверки подписанности pesign. Должен ли SecureBoot самопроизвольно включаться? Так как не подписанные модули не загрузятся, то логика подсказывает нам, что лучше делать проверку на подпись не opt-in, а opt-out - и не обязательно на наличие физической подписи на самих файлах через installcheck для каждого пакета - а достаточно для всех kernel-modules-* чтоб состояние modsign было "успешно", если не opt-out. Если modsign будет разрешен не для всех модулей, то лучше, чтоб нежелательность modsign была передана через spec или git tag (по аналогии со specsubst) - так она сохранится при add kmodules / rebuild. (Ответ для Gleb F-Malinovskiy на комментарий #9) > > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > > Кто знает, как запросить такой апров? > Добавил в группу. От меня теперь что-то нужно? (In reply to Sergey V Turchin from comment #12) > (Ответ для Gleb F-Malinovskiy на комментарий #9) > > > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > > > Кто знает, как запросить такой апров? > > Добавил в группу. > От меня теперь что-то нужно? Ты теперь можешь сделать approve и получить подписанный модуль. (Ответ для Gleb F-Malinovskiy на комментарий #13) > Ты теперь можешь сделать approve и получить подписанный модуль. Спасибо, работает! https://packages.altlinux.org/ru/tasks/417992/ В p11 пока не работает. Посмотрите, плиз. https://packages.altlinux.org/ru/tasks/415909/ Ещё потыкал https://git.altlinux.org/tasks/archive/done/_407/417783/ -- нет modsign.log у сабтаска с zfs. (Ответ для Sergey V Turchin на комментарий #16) > нет modsign.log у сабтаска с zfs. И в Сизифе тоже. Зачем нужна группа @modsign, почему не @kernel, и зачем нужен апрув, а не просто. (In reply to Vitaly Chikunov from comment #18) > Зачем нужна группа @modsign, почему не @kernel, и зачем нужен апрув, а не > просто. Всё было сделано по аналогии с pesign, группу можно поменять а @kernel, если так проще кому-то, но не хотелось смешивать эти сущности. В текущей схеме возникает странная история: если я (не учасник modsign) собираю модуль, он будет неподписаным. А при обновлении ядра его соберёт kernelbot@ и модуль окажется подписаным. Модуль, который не загрузится не особо нужен. Значение имеет только pesign. modsign не pesign. Так что не нужно было делать по аналогии с pesign, а нужно всегда подписывать все модули. (In reply to Ivan A. Melnikov from comment #20) > В текущей схеме возникает странная история: если я (не учасник modsign) > собираю модуль, он будет неподписаным. А при обновлении ядра его соберёт > kernelbot@ и модуль окажется подписаным. Такие (собирающие модули для ядер, которые отказываются загружать неподписанные модули) люди, очевидно, должны быть в группе modsign. (In reply to Vitaly Chikunov from comment #21) > Модуль, который не загрузится не особо нужен. Значение имеет только pesign. > modsign не pesign. Так что не нужно было делать по аналогии с pesign, а > нужно всегда подписывать все модули. Т.е. дать возможность любому участнику или кандидату подписать вообще что угодно? Или ты имеешь в виду что-то другое? Пр 1-й попытке подписать последний сабтаск обламывается https://git.altlinux.org/tasks/419859/logs/events.2.1.log https://git.altlinux.org/tasks/419870/logs/events.2.1.log IMHO модули должен собирать бот, который берёт git с темплейтами откуда-то с altlinux.space/ALTLinux/kernel-modules (например) при этом если модуль есть уже в репозитории (собранный оттуда же ботом ранее), то его может собрать и участник группы @kernel с автоматической подписью. |
