<div dir="ltr">Thanks a lot for the details. Will go through them and get back to you.<div><br></div><div>Thanks</div><div>Srinivas</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 15, 2024 at 4:27 PM Luca Boccassi <<a href="mailto:luca.boccassi@gmail.com">luca.boccassi@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Yes addons have to be signed, otherwise it would defeat their purpose.<br>
OSTree should to switch to other mechanisms, like credentials stored<br>
in the ESP ( <a href="https://systemd.io/CREDENTIALS/" rel="noreferrer" target="_blank">https://systemd.io/CREDENTIALS/</a> ), instead of using the<br>
kernel command line.<br>
<br>
On Tue, 15 Oct 2024 at 11:45, Srinivas Naik <<a href="mailto:nivasnaik@gmail.com" target="_blank">nivasnaik@gmail.com</a>> wrote:<br>
><br>
> Hi All,<br>
> I have a question on this, when secure boot is enabled, addons file also must be signed?<br>
> On devices which use OSTree for OTA, there is a need to update the command line parameter at run time with the latest SHA deployment.<br>
> How to do this on secure boot enabled devices since command line parameters mentioned in the config file will not be picked.<br>
><br>
> Thanks<br>
> Srinivas<br>
><br>
> On Thu, Oct 10, 2024 at 4:13 AM Mah, Yock Gen <<a href="mailto:yock.gen.mah@intel.com" target="_blank">yock.gen.mah@intel.com</a>> wrote:<br>
>><br>
>> It's works, really appreciate your help, Lennart!<br>
>><br>
>> -----Original Message-----<br>
>> From: Lennart Poettering <<a href="mailto:lennart@poettering.net" target="_blank">lennart@poettering.net</a>><br>
>> Sent: Tuesday, October 8, 2024 9:39 PM<br>
>> To: Mah, Yock Gen <<a href="mailto:yock.gen.mah@intel.com" target="_blank">yock.gen.mah@intel.com</a>><br>
>> Cc: <a href="mailto:systemd-devel@lists.freedesktop.org" target="_blank">systemd-devel@lists.freedesktop.org</a><br>
>> Subject: Re: [systemd-devel] Passing Kernel Params from systemd-boot for Secure Boot UKI<br>
>><br>
>> On Di, 08.10.24 12:37, Mah, Yock Gen (<a href="mailto:yock.gen.mah@intel.com" target="_blank">yock.gen.mah@intel.com</a>) wrote:<br>
>><br>
>> > Really appreciate! I tried to create an PE "addon" using below:<br>
>> ><br>
>> > echo "yockgen=b" > cmdline.txt<br>
>> ><br>
>> > objcopy --input binary --output efi-app-x86_64 cmdline.txt<br>
>> > bootdm_b.addon.efi<br>
>><br>
>> This doesn't look right. You must insert the cmdline in the ".cmdline"<br>
>> PE section, of course. As mentioned, addons follow the same structure as UKIs after all.<br>
>><br>
>> We generally recommend using ukify for generating UKIs and PE addons.<br>
>><br>
>> The man page even has an example doing exactly what you need to do:<br>
>><br>
>> <a href="https://github.com/systemd/systemd/blob/main/man/ukify.xml#L674" rel="noreferrer" target="_blank">https://github.com/systemd/systemd/blob/main/man/ukify.xml#L674</a><br>
>><br>
>> Lennart<br>
>><br>
>> --<br>
>> Lennart Poettering, Berlin<br>
</blockquote></div>