3.12.4. Firma de los módulos del kernel con la clave privada
Los usuarios pueden obtener mayores beneficios de seguridad en sus sistemas cargando módulos del kernel firmados si el mecanismo de arranque seguro de UEFI está habilitado. Las siguientes secciones describen cómo firmar los módulos del kernel con la clave privada.
Requisitos previos
- Ha generado un par de claves públicas y privadas y conoce las fechas de validez de sus claves públicas. Para más detalles, consulte Sección 3.12.1.3, “Generar un par de claves públicas y privadas”.
- Ha registrado su clave pública en el sistema de destino. Para más detalles, consulte Sección 3.12.3, “Inscripción de la clave pública en el sistema de destino”.
- Tienes un módulo del kernel en formato de imagen ELF disponible para firmar.
Procedimiento
Ejecute la utilidad
sign-file
con los parámetros que se muestran en el siguiente ejemplo:# /usr/src/kernels/$(uname -r)/scripts/sign-file \ sha256 \ my_signing_key.priv \ my_signing_key_pub.der \ my_module.ko
sign-file
calcula y añade la firma directamente a la imagen ELF en su archivo de módulo del kernel. La utilidadmodinfo
puede utilizarse para mostrar información sobre la firma del módulo del núcleo, si está presente.NotaLa firma anexa no está contenida en una sección de la imagen ELF y no es una parte formal de la imagen ELF. Por lo tanto, utilidades como
readelf
no podrán mostrar la firma en su módulo del kernel.Su módulo del kernel está ahora listo para ser cargado. Tenga en cuenta que su módulo del kernel firmado también se puede cargar en sistemas en los que el arranque seguro de UEFI está deshabilitado o en un sistema no UEFI. Esto significa que no necesita proporcionar una versión firmada y otra sin firmar de su módulo del kernel.
ImportanteEn RHEL 8, las fechas de validez del par de claves son importantes. La clave no caduca, pero el módulo del kernel debe ser firmado dentro del periodo de validez de su clave de firma. La utilidad
sign-file
no le advertirá de esto. Por ejemplo, una clave que sólo es válida en 2019 puede utilizarse para autenticar un módulo del núcleo firmado en 2019 con esa clave. Sin embargo, los usuarios no pueden utilizar esa clave para firmar un módulo del núcleo en 2020.
Recursos adicionales
-
Para más detalles sobre el uso de
modinfo
para obtener información sobre los módulos del núcleo, consulte Sección 3.7, “Visualización de información sobre los módulos del kernel”.