<div dir="ltr"><div>Hi All,</div>I have a question on this, when secure boot is enabled, addons file also must be signed?<div>On devices which use OSTree for OTA, there is a need to update the command line parameter at run time with the latest SHA deployment.</div><div>How to do this on secure boot enabled devices since command line parameters mentioned in the config file will not be picked.</div><div><br></div><div>Thanks</div><div>Srinivas</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Oct 10, 2024 at 4:13 AM Mah, Yock Gen <<a href="mailto:yock.gen.mah@intel.com">yock.gen.mah@intel.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">It's works, really appreciate your help, Lennart!<br>
<br>
-----Original Message-----<br>
From: Lennart Poettering <<a href="mailto:lennart@poettering.net" target="_blank">lennart@poettering.net</a>> <br>
Sent: Tuesday, October 8, 2024 9:39 PM<br>
To: Mah, Yock Gen <<a href="mailto:yock.gen.mah@intel.com" target="_blank">yock.gen.mah@intel.com</a>><br>
Cc: <a href="mailto:systemd-devel@lists.freedesktop.org" target="_blank">systemd-devel@lists.freedesktop.org</a><br>
Subject: Re: [systemd-devel] Passing Kernel Params from systemd-boot for Secure Boot UKI<br>
<br>
On Di, 08.10.24 12:37, Mah, Yock Gen (<a href="mailto:yock.gen.mah@intel.com" target="_blank">yock.gen.mah@intel.com</a>) wrote:<br>
<br>
> Really appreciate! I tried to create an PE "addon" using below:<br>
><br>
> echo "yockgen=b" > cmdline.txt<br>
><br>
> objcopy --input binary --output efi-app-x86_64 cmdline.txt <br>
> bootdm_b.addon.efi<br>
<br>
This doesn't look right. You must insert the cmdline in the ".cmdline"<br>
PE section, of course. As mentioned, addons follow the same structure as UKIs after all.<br>
<br>
We generally recommend using ukify for generating UKIs and PE addons.<br>
<br>
The man page even has an example doing exactly what you need to do:<br>
<br>
<a href="https://github.com/systemd/systemd/blob/main/man/ukify.xml#L674" rel="noreferrer" target="_blank">https://github.com/systemd/systemd/blob/main/man/ukify.xml#L674</a><br>
<br>
Lennart<br>
<br>
--<br>
Lennart Poettering, Berlin<br>
</blockquote></div>