Aller au contenu principal
Sujet: Aeon, dkms, secure boot (Lu 938 fois) sujet précédent - sujet suivant

Aeon, dkms, secure boot

Jusqu'à peu, j'étais convaincu que les systèmes linux immutables ne pouvaient pas faire fonctionner des modules dkms. C'est vrai pour silverblue (et tous ses dérivés) mais pas avec Aeon.

Je suis tombé sur un article qui dit que c'est possible.
Dans cet article, ils utilisent des modules dkms fournis en rpm, mais si ça fonctionne avec des rpm, ça doit fonctionner avec des modules a compiler.

J'ai donc fouillé partout avec l'objectif de faire fonctionner le touchscreen de ma surface pro qui nécessite un module dkms a installer manuellement.

Sous Tumbleweed ça fonctionne très bien. J'installe dkms,. je récupère les sources du module, je les installe avec sudo make dkms-install, dkms créé automatiquement un certificat de signature lors de sa première utilisation, j'utilise mokutil pour importer ce certificat dans l'uefi.

Sous Aeon la procedure est au final identique mais avec deux complications: il faut utiliser transactional-update pour modifier le système et le système étant en read-only il y a des fichiers système qui ne sont pas a l'endroit habituel et qui sont masqués/redirigés.

Pour réussir à installer le.module, il faut comprendre le concept du fonctionnement d'Aeon. Lorsqu'une  session transactional-update est ouverte, le système créé un Snapshot du système en cours de fonctionnement, il ouvre ce Snapshot, fait sa tambouille et en sortant, ferme le Snapshot qui devient actif au prochain boot si il est conforme. Ça implique que pour installer un module, toutes les instructions d'installation doivent se faire dans la même session transactional-update. De plus, la session transactional-update n'a pas accès a tous les fichiers du système (le /home par exemple est inaccessible).

Bref pour réussir a installer mon module sous Aeon:

Citer
Installer dkms : sudo transactional-update pkg in dkms. Dkms modifiant des fichiers de boot, le décryptage via le tpm est cassé au redémarrage.

Citer
Rebooter avec la passphrase de récupération, et restaurer le tpm une fois sous Aeon (unenroll et reenroll de la clé)

Citer
Reboot pour vérifier que tout va bien
Citer
Sudo systemctl enable dkms (pour activer dkms au démarrage), reboot.
A ce stade, Aeon démarre correctement et dkms est activé.

Citer
Installer son module:
Le plus simple pour pouvoir accéder aux sources du module dans une session TA, c'est de les mettre dans /etc.
Sudo cp -r mon_dossier_source /etc/drivers

On ouvre une session TA pour installer le module et importer le certificat.
Citer
sudo transactional-update shell
Cd /etc/drivers/mon_dossier_source
Sudo make dkms-install
Sudo mokutil --import /var/lib/dkms/mok.pub
exit

On attend bien que la session TA se ferme proprement en créant le nouveau Snapshot.

Citer
Reboot
On accepte d'importer le certificat de signature dans notre bel écran bleu MOK.
Le pc redémarre et tout doit fonctionner.

J'ai donc actuellement ma surface pro sous Aeon avec le touchscreen fonctionnel. Youpi.
Il ne reste qu'à attendre un update de kernel futur pour être sûr que dkms va bien faire son travail et installer automatiquement le module.


Re : Aeon, dkms, secure boot

Répondre #1
Update du kernel et c'est moyen.
Le module ne s'est pas réinstallé tout seul, j'ai dû lancer un: sudo transactional-update run dkms autoinstall.

On verra si ça va mieux au prochain update.

Re : Aeon, dkms, secure boot

Répondre #2
Hello ;=)
j'imagine que c'est prévu pour repartir sur une base stable tout le temps,  ce qui expliquerai la non réinstall automatique.
A moins de lui forcer la main quelque part (?)

Mais ca revient à modifier/ casser ce pourquoi elle est prévue de série. Donc à faire un truc instable à +/- brève échéance.
A mon avis si tu veux quelque chose qui tienne dans le temps : soit une distro immutable que tu utilises telle quelle, soit une distro classique, soit un autre matériel mieux supporté (possible ?)
Mais si c'est pour bricoler et apprendre ca peut être fun ;)

(trop souvent on ne sait pas le contexte : pro, perso, fun ...)

Re : Aeon, dkms, secure boot

Répondre #3
Oui c'est du perso et ce n'est pas ma seule machine, donc c'est surtout pour voir si c'est utilisable, je ne ferais pas ça avec un ordinateur "indispensable".

Tumbleweed fonctionne parfaitement sur cette même machine, mais je voulais essayer de la passer sur une distribution immutable et pour l'instant silverblue ne permet plus de remplacer le kernel par un autre (le kernel du projet surface-linux) a cause d'un bug dans ostree qui devrait être résolu avec fedora42.

Pour ce qui est de changer de machine, c'est clairement un autre sujet, mais la surface pro est quand même ce que je connais de mieux en matière d'ordinateur ultra transportable, puissance correcte, usage tablette tactile et pc, hyperpolyvalent et léger. Il faut vraiment en avoir utilisé une pour s'en rendre compte et je ne connais pas d'équivalent ailleurs.