3.9. Signer un noyau avec la clé privée
Vous pouvez améliorer la sécurité de votre système en chargeant un noyau signé si le mécanisme de démarrage sécurisé de l'UEFI est activé.
Conditions préalables
- Vous avez généré une paire de clés publique et privée et vous connaissez les dates de validité de vos clés publiques. Pour plus d'informations, voir Générer une paire de clés publique et privée.
- Vous avez enregistré votre clé publique sur le système cible. Pour plus de détails, voir Enrôler une clé publique sur le système cible en ajoutant la clé publique à la liste MOK.
- Vous disposez d'une image de noyau au format ELF disponible pour la signature.
Procédure
Sur l'architecture x64 :
Créer une image signée :
# pesign --certificate 'Custom Secure Boot key' \ --in vmlinuz-version \ --sign \ --out vmlinuz-version.signed
Remplacez
version
par le suffixe de version de votre fichiervmlinuz
, etCustom Secure Boot key
par le nom que vous avez choisi précédemment.Facultatif : Vérifier les signatures :
# pesign --show-signature \ --in vmlinuz-version.signed
Remplacer l'image non signée par l'image signée :
# mv vmlinuz-version.signed vmlinuz-version
Sur l'architecture ARM 64 bits :
Décompressez le fichier
vmlinuz
:# zcat vmlinuz-version > vmlinux-version
Créer une image signée :
# pesign --certificate 'Custom Secure Boot key' \ --in vmlinux-version \ --sign \ --out vmlinux-version.signed
Facultatif : Vérifier les signatures :
# pesign --show-signature \ --in vmlinux-version.signed
Compresser le fichier
vmlinux
:# gzip --to-stdout vmlinux-version.signed > vmlinuz-version
Supprimer le fichier non compressé
vmlinux
:# rm vmlinux-version*