https://packages.altlinux.org/ru/tasks/417920/ Из этой сборки модули ядра перестали загружаться с руганью, что неподписаны. С предыдущей сборкой 417782 всё было ок. Если был какой-то анонс, дайте ссылку, плиз, а то не видел.
По отзывам с выключенным SecureBoot модули грузятся.
(Ответ для Sergey V Turchin на комментарий #1) > По отзывам с выключенным SecureBoot модули грузятся. Добрый день. Подтверждаю. SecureBoot = Disabled карта в режиме дискретная (встройка выключена в биос) работает нормально, включая игры + внешний монитор по DP частота 240.30Гц NVIDIA GeForce RTX 4050 Max-Q / Mobile [Discrete] Linux 6.18.29-6.18-alt1 GNOME 50.1
С подписыванием модулей вылезло столько проблем, что я в эту тему в своё время лезть не стал вообще.
Кто-то может сказать, можно ли мне что-то сделать? Пересборку модулей запустить или ещё что? Или просто ждать починки?
Created attachment 21357 [details] Сравнение опций ядер
Created attachment 21360 [details] Картинка с сравнением опций Прочёл https://download.nvidia.com/XFree86/Linux-x86_64/580.142/README/installdriver.html#modulesigning Что натолкнуло на мысль сравнить конфиги ядер, сравнил из того, что было под рукой ;-) Похоже проблема в опциях CONFIG_SYSTEM_TRUSTED_KEYS и т.п.
Выяснил, что: "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" Кто знает, как запросить такой апров? На всякий сделал сборку https://packages.altlinux.org/ru/tasks/417992/
2 glebfm: если теперь неподписанные модули не грузяться, то сборочные задания с неподписанными модулями не должны проходить в репозиторий?
(In reply to Sergey V Turchin from comment #7) > Выяснил, что: > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > Кто знает, как запросить такой апров? Добавил в группу. (In reply to Sergey V Turchin from comment #8) > 2 glebfm: если теперь неподписанные модули не грузяться, то сборочные > задания с неподписанными модулями не должны проходить в репозиторий? Да, можно сделать, например, installcheck вроде того, который сделан в пакете grub для проверки подписанности pesign.
Должен ли SecureBoot самопроизвольно включаться?
Так как не подписанные модули не загрузятся, то логика подсказывает нам, что лучше делать проверку на подпись не opt-in, а opt-out - и не обязательно на наличие физической подписи на самих файлах через installcheck для каждого пакета - а достаточно для всех kernel-modules-* чтоб состояние modsign было "успешно", если не opt-out. Если modsign будет разрешен не для всех модулей, то лучше, чтоб нежелательность modsign была передана через spec или git tag (по аналогии со specsubst) - так она сохранится при add kmodules / rebuild.
(Ответ для Gleb F-Malinovskiy на комментарий #9) > > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > > Кто знает, как запросить такой апров? > Добавил в группу. От меня теперь что-то нужно?
(In reply to Sergey V Turchin from comment #12) > (Ответ для Gleb F-Malinovskiy на комментарий #9) > > > "Чтобы модули подписать нужен апрув от @modsign на сабтаск с модулем" > > > Кто знает, как запросить такой апров? > > Добавил в группу. > От меня теперь что-то нужно? Ты теперь можешь сделать approve и получить подписанный модуль.
(Ответ для Gleb F-Malinovskiy на комментарий #13) > Ты теперь можешь сделать approve и получить подписанный модуль. Спасибо, работает! https://packages.altlinux.org/ru/tasks/417992/
В p11 пока не работает. Посмотрите, плиз. https://packages.altlinux.org/ru/tasks/415909/
Ещё потыкал https://git.altlinux.org/tasks/archive/done/_407/417783/ -- нет modsign.log у сабтаска с zfs.
(Ответ для Sergey V Turchin на комментарий #16) > нет modsign.log у сабтаска с zfs. И в Сизифе тоже.
Зачем нужна группа @modsign, почему не @kernel, и зачем нужен апрув, а не просто.
(In reply to Vitaly Chikunov from comment #18) > Зачем нужна группа @modsign, почему не @kernel, и зачем нужен апрув, а не > просто. Всё было сделано по аналогии с pesign, группу можно поменять а @kernel, если так проще кому-то, но не хотелось смешивать эти сущности.
В текущей схеме возникает странная история: если я (не учасник modsign) собираю модуль, он будет неподписаным. А при обновлении ядра его соберёт kernelbot@ и модуль окажется подписаным.
Модуль, который не загрузится не особо нужен. Значение имеет только pesign. modsign не pesign. Так что не нужно было делать по аналогии с pesign, а нужно всегда подписывать все модули.
(In reply to Ivan A. Melnikov from comment #20) > В текущей схеме возникает странная история: если я (не учасник modsign) > собираю модуль, он будет неподписаным. А при обновлении ядра его соберёт > kernelbot@ и модуль окажется подписаным. Такие (собирающие модули для ядер, которые отказываются загружать неподписанные модули) люди, очевидно, должны быть в группе modsign.
(In reply to Vitaly Chikunov from comment #21) > Модуль, который не загрузится не особо нужен. Значение имеет только pesign. > modsign не pesign. Так что не нужно было делать по аналогии с pesign, а > нужно всегда подписывать все модули. Т.е. дать возможность любому участнику или кандидату подписать вообще что угодно? Или ты имеешь в виду что-то другое?
Пр 1-й попытке подписать последний сабтаск обламывается https://git.altlinux.org/tasks/419859/logs/events.2.1.log https://git.altlinux.org/tasks/419870/logs/events.2.1.log
IMHO модули должен собирать бот, который берёт git с темплейтами откуда-то с altlinux.space/ALTLinux/kernel-modules (например) при этом если модуль есть уже в репозитории (собранный оттуда же ботом ранее), то его может собрать и участник группы @kernel с автоматической подписью.
