kernel module in UEFI secure boot --- insmod: ERROR: could not insert module lkm_hello.ko: Operation not permitted

# insmod lkm_hello.ko
insmod: ERROR: could not insert module lkm_hello.ko: Operation not permitted

解决办法
其实就是因为修改.ko文件是修改的linux内核文件，所以被bios的安全启动保护给禁止了而已。
重启进入BIOS，修改安全启动选项，禁用安全启动选项，开机后重新sudo运行之前的指令。

https://open-cells.com/index.php/2017/06/08/kernel-module-uefi-secure-boot/

Signed kernel module: how to

Compilation of a kernel module like this example
- cd opencells-mods/gtp_mod
- make -C /lib/modules/ $(uname -r)/build M=$ PWD
- sudo cp gtp.ko /lib/modules/$(uname -r)/kernel/drivers/net/gtp.ko
But, despite we just compiled it successfully, the module can’t be loaded
- modprobe gtp
- ERROR: could not insert ‘gtp’: Operation not permitted

your kernel boot is in “secure boot”, the module can’t be loaded

This issue occurs also with other modules in AOI, like ue_ip.kp

Solution 1
- - Remove “secure boot” entirely
  - depends on UEFI bios
  - Can be done by
  - ```
  sudo apt install mokutil
  sudo mokutil --disable-validation
```
- After this, reboot the computer, the UEFI bios should ask for the password you set with “mokutil”, then ask to accept to disable secure boot
Solution 2
- Sign your modules
- add you own signature to valid signatures
  - create ciphering keys
  - ```
  openssl req -new -x509 -newkey rsa:2048 -keyout OCP.priv -outform DER -out OCP.der -nodes -days 36500 -subj "/CN=OpenCells/"
```
- keep the two files OCP.der, OCP.priv as you’ll need it to sign your kernel modules
- import it in UEFI boot
- ```
sudo mokutil --import OCP.der
```
  - It asks for a password: put any string, you’ll need it once, at next reboot, to secure the new ciphering enrolling
  - You need to reboot the machine to enroll this new key
- Now you can sign your modules
  - each time you compile a module, you have to sign it
  - (after: sudo cp gtp.ko /lib/modules/`uname -r`/kernel/drivers/net/gtp.ko)
- ```
sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./OCP.priv ./OCP.der $(modinfo -n gtp)
```
- now “sudo modprobe gtp” should not complain anymore
You’ll need to compile and update the module after each Ubuntu kernel upgrades

posted @ 2022-11-20 22:58 张同光阅读(585) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

【推荐】还在用 ECharts 开发大屏？试试这款永久免费的开源 BI 工具！
【推荐】国内首个AI IDE，深度理解中文开发场景，立即下载体验Trae
【推荐】编程新体验，更懂你的AI，立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包，你的智能百科全书，全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell：AI 加持，快人一步

相关博文：

· SecureBoot---debian---Oracle VM VirtualBox

· Secure Boot doesn't allow 'vboxdrv' module to load (now works for Ubuntu and Debian 10+ hosts)

· 在linux开发板上加载.ko驱动文件时，出现“insmod: ERROR: could not insert module led.ko: Invalid module format”错误的原因及解决方法

· Linux安全启动及Machine Owner Key(UEFI BIOS MBR GPT GRUB)

· insmod: ERROR: could not insert module xxx.ko: Unknown symbol in module

阅读排行：
· 无需6万激活码！GitHub神秘组织3小时极速复刻Manus，手把手教你使用OpenManus搭建本
· Manus爆火，是硬核还是营销？
· 终于写完轮子一部分：tcp代理了，记录一下
· 别再用vector＜bool＞了！Google高级工程师：这可能是STL最大的设计失误
· 单元测试从入门到精通

公告

昵称：张同光
园龄： 8年11个月
粉丝： 70
关注： 0

<

2025年3月

>

日

一

二

三

四

五

六

23

24

25

26

27

28

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

最新随笔

随笔分类 (929)

随笔档案 (3269)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

1. Re:心之力
《心之力》全文：
--ziwuxian
2. Re:操作系统——目录
求问这是哪本书的目录？
--会更加
3. Re:移植sqlite+apache+php
遇到过apache解析php，php无法执行system函数的问题没
--小打工人小
4. Re:NS3 --- ns-3.36.1 --- assert failed. cond="m_current >= delta"
您好我遇见了 cond="m_current + delta <= m_dataEnd"这样的错误应该如何修改
--流、墨迹
5. Re:RDMA from Xilinx FPGA to Nvidia GPUs — Part 1
请问代码在哪？
--pppjioh