Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

3.4. Exigences pour l'authentification des modules du noyau avec des clés X.509

download PDF

Dans Red Hat Enterprise Linux 9, lorsqu'un module du noyau est chargé, le noyau vérifie la signature du module par rapport aux clés publiques X.509 du trousseau de clés du système du noyau (.builtin_trusted_keys) et du trousseau de clés de la plate-forme du noyau (.platform). Le trousseau .platform contient des clés provenant de fournisseurs de plateformes tiers et des clés publiques personnalisées. Les clés du trousseau du système du noyau .blacklist sont exclues de la vérification.

Certaines conditions doivent être remplies pour charger les modules du noyau sur les systèmes dont la fonctionnalité UEFI Secure Boot est activée :

  • Si l'UEFI Secure Boot est activé ou si le paramètre module.sig_enforce kernel a été spécifié :

    • Vous ne pouvez charger que les modules signés du noyau dont les signatures ont été authentifiées à l'aide des clés du trousseau de clés du système (.builtin_trusted_keys) et du trousseau de clés de la plate-forme (.platform).
    • La clé publique ne doit pas figurer dans le trousseau des clés révoquées du système (.blacklist).

  • Si UEFI Secure Boot est désactivé et que le paramètre module.sig_enforce kernel n'a pas été spécifié :

    • Vous pouvez charger des modules de noyau non signés et des modules de noyau signés sans clé publique.

  • Si le système n'est pas basé sur l'UEFI ou si le Secure Boot de l'UEFI est désactivé :

    • Seules les clés intégrées dans le noyau sont chargées sur .builtin_trusted_keys et .platform.
    • Vous n'avez pas la possibilité d'augmenter ce jeu de clés sans reconstruire le noyau.
Tableau 3.2. Exigences d'authentification du module du noyau pour le chargement
Module signéClé publique trouvée et signature valideÉtat de l'UEFI Secure Bootsig_enforceChargement du moduleNoyau altéré

Non signé

-

Non activé

Non activé

Réussite

Oui

Non activé

Activé

Échecs

-

Activé

-

Échecs

-

Signé

Non

Non activé

Non activé

Réussite

Oui

Non activé

Activé

Échecs

-

Activé

-

Échecs

-

Signé

Oui

Non activé

Non activé

Réussite

Non

Non activé

Activé

Réussite

Non

Activé

-

Réussite

Non

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.