Automatisation de la signature des pilotes OpenRazer sur Fedora avec DKMS et Secure Boot
Lors de la configuration des pilotes OpenRazer sur un système Fedora avec Secure Boot activé, les pilotes doivent être signés pour que le noyau les accepte. La signature manuelle peut devenir répétitive, en particulier à chaque nouvelle mise à jour du noyau. Heureusement, nous pouvons utiliser DKMS et une clé unique (mok.pub) pour rationaliser ce processus. Dans ce guide, je vous expliquerai comment DKMS gère la signature des modules, pourquoi la clé mok.pub fonctionne de manière universelle et comment la configurer sur votre système Fedora.
Pourquoi utiliser DKMS et mok.pub ?
DKMS (Dynamic Kernel Module Support) automatise la création et la signature des modules du kernel. La clé mok.pub, générée par DKMS, agit comme une signature universelle. En inscrivant cette clé dans votre EFI (Extensible Firmware Interface), vous permettez à votre système Fedora de faire confiance à tous les modules gérés par DKMS, y compris OpenRazer, DisplayLink (EVDI) et autres, simplifiant ainsi le processus de signature.
Voici comment configurer DKMS et mok.pub pour automatiser la signature de vos pilotes OpenRazer.
Étape 1 : Installer DKMS et OpenRazer
Tout d’abord, assurez-vous que DKMS et mokutil sont installés, ainsi que les pilotes OpenRazer :
sudo dnf install dkms mokutil openrazer-meta
Étape 2 : Enregistrer la clé DKMS avec Secure Boot
La clé mok.pub, située dans /var/lib/dkms/mok.pub, est générée automatiquement par DKMS. Cette clé est utilisée pour signer tous les modules créés par DKMS, ce qui signifie qu'elle fonctionnera pour OpenRazer et d'autres modules sans nécessiter de noms de pilotes spécifiques.
Pour inscrire cette clé :
sudo mokutil --import /var/lib/dkms/mok.pub
Étape 3 : Terminer l'enregistrement de la clé dans EFI
Après avoir exécuté la commande ci-dessus, redémarrez votre système. Au démarrage, vous serez invité à terminer l'enregistrement MOK. Suivez les instructions à l'écran pour importer la clé dans le micrologiciel EFI.
Étape 4 : Vérifier l'enregistrement de la clé (facultatif)
Après le redémarrage, vous pouvez confirmer que la clé a été enregistrée avec succès en exécutant :
mokutil --list-enrolled | grep DKMS
Si la clé mok.pub apparaît dans la liste, vous êtes prêt !
Étape 5 : laissez DKMS gérer la nouvelle signature du noyau
Désormais, DKMS signera automatiquement le module OpenRazer (et tout autre module géré par DKMS) à chaque fois qu'un nouveau noyau est installé. Si pour une raison quelconque un module n'est pas signé après une mise à jour du noyau, vous pouvez demander manuellement à DKMS de le signer :
sudo dkms autoinstall
Pourquoi cette méthode fonctionne
La clé mok.pub est à usage général, permettant à votre système Fedora de faire confiance à tout module du noyau signé avec elle. Étant donné que DKMS se charge de signer les modules au fur et à mesure de leur construction ou de leur reconstruction, vous n'aurez pas besoin de les signer manuellement après chaque mise à jour du noyau. Cette configuration améliore également la sécurité en ne chargeant que les modules de confiance tout en garantissant la commodité.
Conclusion
En enregistrant la clé DKMS mok.pub, vous simplifiez l'installation du pilote OpenRazer sur Fedora et éliminez le besoin de signatures manuelles répétées. Cette méthode permet non seulement de gagner du temps, mais également de sécuriser votre système, en permettant à Secure Boot de ne charger que les modules vérifiés.
Enjoy !
AlexIn Tech