it-swarm.com.de

modprobe schlägt mit "Operation nicht erlaubt" fehl.

Ich versuche zu modprobe wireguard als root, und es schlägt fehl mit:

modprobe: ERROR: could not insert 'wireguard': Operation not permitted

Wenn ich wortreich hinzufüge, bekomme ich noch eine Zeile:

[[email protected] ben]# insmod /lib/modules/5.2.11-100.fc29.x86_64/extra/wireguard.ko.xz
insmod: ERROR: could not insert module /lib/modules/5.2.11-100.fc29.x86_64/extra/wireguard.ko.xz: Operation not permitted

dkms läuft einwandfrei. Ich habe auch Selinux deaktiviert und das machte keinen Unterschied. Ich sehe nichts in den journalctl Protokollen.

Das Durchsuchen von Manpages und Google hat nichts ergeben.

Ich habe diese hilfreiche Zeile in dmesg gefunden:

Lockdown: modprobe: Loading of unsigned module is restricted; see man kernel_lockdown.7

Diese Manpage existiert jedoch nicht.

Wie kann ich das debuggen? Irgendwelche Hinweise, wohin es als nächstes gehen soll?

4
Freedom_Ben

Endlich etwas drauf gefunden. Es scheint ein "Feature" zu sein wo nicht signierter Code nicht in den Kernel geladen werden kann, wenn der sichere UEFI-Start aktiviert ist (was es ist).

Deaktivieren Sie die Kernel-Sperre über sys-rq, um das Laden des Moduls zu erhalten:

# echo 1 > /proc/sys/kernel/sysrq
# echo x > /proc/sysrq-trigger

Dann sollte modprobe funktionieren:

modprobe wireguard

Weitere Informationen finden Sie unter:

https://mjg59.dreamwidth.org/50577.html

https://bugzilla.redhat.com/show_bug.cgi?id=1599197

4
Freedom_Ben

Meine Fedora 31-Distribution akzeptierte kein Echo SysRq. Arch Linux Wiki vorgeschlagen zu verwenden Alt+PrtSc+x (auf Laptops, wo Fn ist Teil der Tastatur). Die Sperrung wurde erfolgreich deaktiviert und wireguard erfolgreich geladen. Ich habe akmod installiert, daher funktionierte modprobe wireguard als Alternative zu SysRq+x (Redhat Handbuch sagt - es sollte auf physisch angeschlossener Tastatur gedrückt werden).

0
igor

Ich habe ein ähnliches Problem, erhalte aber eine andere ausführliche Ausgabe von modprobe:

# modprobe -vvv wireguard
modprobe: INFO: custom logging function 0x55cf4e172a20 registered
insmod /lib/modules/5.3.11-300.fc31.x86_64/kernel/net/wireguard.ko.xz  
modprobe: INFO: Failed to insert module '/lib/modules/5.3.11-300.fc31.x86_64/kernel/net/wireguard.ko.xz': Operation not permitted
modprobe: ERROR: could not insert 'wireguard': Operation not permitted
modprobe: INFO: context 0x55cf4eb9b4c0 released

Irgendwelche Ideen, wie wir das Wireguard-Modul laden können? Ich habe es entfernt und ohne Erfolg wieder aufgebaut:

dkms remove -m wireguard -v 0.0.20191012 -k 5.3.11-300.fc31.x86_64
dkms install -m wireguard -v 0.0.20191012

Jede Hilfe hat uns sehr geschätzt.

0
valentt