Rechercher

Chapitre 3. Signer un noyau et des modules pour le démarrage sécurisé

download PDF

Vous pouvez renforcer la sécurité de votre système en utilisant un noyau et des modules de noyau signés. Sur les systèmes de construction basés sur l'UEFI où Secure Boot est activé, vous pouvez signer vous-même un noyau ou des modules de noyau construits de manière privée. En outre, vous pouvez importer votre clé publique dans un système cible où vous souhaitez déployer votre noyau ou vos modules de noyau.

Si l'option Secure Boot est activée, tous les composants suivants doivent être signés à l'aide d'une clé privée et authentifiés à l'aide de la clé publique correspondante :

  • Chargeur de démarrage du système d'exploitation UEFI
  • Le noyau Red Hat Enterprise Linux
  • Tous les modules du noyau

Si l'un de ces composants n'est pas signé et authentifié, le système ne peut pas terminer le processus de démarrage.

Red Hat Enterprise Linux 9 comprend :

  • Chargeurs de démarrage signés
  • Noyaux signés
  • Modules signés du noyau

De plus, le chargeur de démarrage de première étape signé et le noyau signé incluent des clés publiques Red Hat intégrées. Ces binaires exécutables signés et ces clés intégrées permettent à Red Hat Enterprise Linux 9 de s'installer, de démarrer et de s'exécuter avec les clés de l'autorité de certification Microsoft UEFI Secure Boot qui sont fournies par le microprogramme UEFI sur les systèmes qui prennent en charge UEFI Secure Boot.

Note
  • Tous les systèmes basés sur l'UEFI ne prennent pas en charge le démarrage sécurisé.
  • Le système de construction, dans lequel vous construisez et signez votre module de noyau, n'a pas besoin d'activer le Secure Boot UEFI ni même d'être un système basé sur l'UEFI.

3.1. Conditions préalables

  • Pour pouvoir signer les modules du noyau construits en externe, installez les utilitaires des paquets suivants :

    # dnf install pesign openssl kernel-devel mokutil keyutils
    Tableau 3.1. Services publics requis
    UtilitéFourni par paquetUtilisé leObjectif

    efikeygen

    pesign

    Système de construction

    Génère des paires de clés X.509 publiques et privées

    openssl

    openssl

    Système de construction

    Exporte la clé privée non chiffrée

    sign-file

    kernel-devel

    Système de construction

    Fichier exécutable utilisé pour signer un module du noyau avec la clé privée

    mokutil

    mokutil

    Système cible

    Utilitaire facultatif utilisé pour enregistrer manuellement la clé publique

    keyctl

    keyutils

    Système cible

    Utilitaire facultatif utilisé pour afficher les clés publiques dans le trousseau de clés du système

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.