3.9. Signer un noyau avec la clé privée
Vous pouvez améliorer la sécurité de votre système en chargeant un noyau signé si le mécanisme de démarrage sécurisé de l'UEFI est activé.
Conditions préalables
- Vous avez généré une paire de clés publique et privée et vous connaissez les dates de validité de vos clés publiques. Pour plus d'informations, voir Générer une paire de clés publique et privée.
- Vous avez enregistré votre clé publique sur le système cible. Pour plus de détails, voir Enrôler une clé publique sur le système cible en ajoutant la clé publique à la liste MOK.
- Vous disposez d'une image de noyau au format ELF disponible pour la signature.
Procédure
Sur l'architecture x64 :
Créer une image signée :
# pesign --certificate 'Custom Secure Boot key' \ --in vmlinuz-version \ --sign \ --out vmlinuz-version.signed
Remplacez
versionpar le suffixe de version de votre fichiervmlinuz, etCustom Secure Boot keypar le nom que vous avez choisi précédemment.Facultatif : Vérifier les signatures :
# pesign --show-signature \ --in vmlinuz-version.signed
Remplacer l'image non signée par l'image signée :
# mv vmlinuz-version.signed vmlinuz-version
Sur l'architecture ARM 64 bits :
Décompressez le fichier
vmlinuz:# zcat vmlinuz-version > vmlinux-versionCréer une image signée :
# pesign --certificate 'Custom Secure Boot key' \ --in vmlinux-version \ --sign \ --out vmlinux-version.signed
Facultatif : Vérifier les signatures :
# pesign --show-signature \ --in vmlinux-version.signed
Compresser le fichier
vmlinux:# gzip --to-stdout vmlinux-version.signed > vmlinuz-versionSupprimer le fichier non compressé
vmlinux:# rm vmlinux-version*
