gpu@rokcylinux9禁用noveau驱动 + biso安全配置

Posted on Edited on Views:

Secure Boot(安全启动)是现代计算机中的一项安全功能,主要用于防止恶意软件在操作系统加载之前运行,确保系统启动过程中只执行可信的代码。

noveau

1.检查是否加载noveau驱动

lsmod | grep nouveau

2.如果加载则禁用驱动

# 内核层禁用nouveau开源驱动
grubby --update-kernel ALL --args rd.driver.blacklist=nouveau
 
# 验证禁用是否配置成功
grubby --info DEFAULT

or

# 通过 modprobe 配置禁用 nouveau 驱动
vi /etc/modprobe.d/blacklist-nouveau.conf

blacklist nouveau
options nouveau modeset=0
 
# 重新启动计算机生效配置
[root@gpu-server-001 ~]# reboot
 
# 如果不重启计算机,也可以直接删除已经加载的驱动
[root@gpu-server-001 ~]# rmmod nouveau
 
# 重启后,验证 nouveau 模块是否已禁用,如果没有任何输出,则说明 nouveau 模块已禁用
[root@gpu-server-001 ~]# lsmod | grep nouveau

bios secure

1.检查

# 安装 mokutil
dnf install mokutil  -y

# 获取 BIOS 中安全引导状态信息
mokutil --sb-state
EFI variables are not supported on this system   ### 未开启bios安全

如果显示 SecureBoot enabled,说明安全引导状态启用

2.如果启用安全加载新的驱动需导入密钥

dkms 本身对所有模块进行了签名,因此只需要注册它使用的密钥,就可以使 BIOS SecureBoot 正常启用

//输入以下命令提醒输入一次性密码,在重启计算机时,进入 MOK Manager管理界面,需要输入对应密码,再重启即可。(tty属于,显示器端输入密码)
mokutil --import /var/lib/dkms/mok.pub

//列出密钥
mokutil --list-new

//重启计算机,进入 MOK Manager 管理界面,输入刚刚设置的密码(非 SSH 可操作,需要在显示器或 IPMI 等远程管理工具上进行操作)
reboot

//重启后,验证证书是否加载成功
dmesg | grep cert

Refer