这是一篇关于在 Debian 系统上编写并签名“Hello, world”内核模块使其在启用安全启动时可加载的快速指南：

• 首先创建工作目录，编写名为hwkm的简单内核模块并编译，生成hwkm.ko二进制文件。尝试加载时内核会拒绝，因为现代主流发行版默认启用安全启动，要求内核模块签名才能加载。
• 在 Debian 上负责安全启动的主要程序是shim，它默认包含在 Debian 11 中并由微软 UEFI CA 签名。shim会检查内核和内核模块是否签名。要签名内核模块，需要注册“机器所有者密钥”。
• 生成“机器所有者密钥”的步骤：创建openssl.cnf文件，使用openssl req生成MOK.priv和MOK.der文件。然后使用mokutil导入密钥，需输入密码并记住。
• 重启后通过MokManager完成密钥注册，包括选择“Enroll MOK”、“Continue”、回答“yes”并输入之前的密码，最后再次重启。
• 注册成功后可以使用密钥签名内核模块，如/usr/lib/linux-kbuild-$(uname -r | awk -F'.' '{print $1"."$2}')/scripts/sign-file sha256 ~/mok/MOK.priv ~/mok/MOK.der./hwkm.ko。
• 最后确认签名成功，加载和卸载内核模块，并在dmesg中查找相应日志，确认签名后的内核模块可以正常加载和卸载。
• 参考资料包括多个关于安全启动和内核模块签名的相关文档和网站。