3.4. X.509 키를 사용하여 커널 모듈을 인증하기 위한 요구 사항
RHEL 8에서 커널 모듈이 로드되면 커널은 커널 시스템 키링(.builtin_trusted_keys
) 및 커널 플랫폼 키링(.platform
)에서 공용 X.509 키에 대해 모듈의 서명을 확인합니다. .platform
인증 키에는 타사 플랫폼 공급자 및 사용자 지정 공개 키가 포함되어 있습니다. 커널 system .blacklist
키의 키는 확인에서 제외됩니다.
UEFI Secure Boot 기능이 활성화된 시스템에서 커널 모듈을 로드하려면 특정 조건을 충족해야 합니다.
UEFI Secure Boot가 활성화되어 있거나
module.sig_enforce
커널 매개변수가 지정된 경우 다음을 수행합니다.-
시스템 인증 키(
.builtin_trusted_keys) 및 플랫폼 인증 키(.
platform)의 키와 서명된 커널 모듈만 로드할 수 있습니다.
-
공개 키는 시스템 해지 키 인증 키(
.blacklist
)에 없어야 합니다.
-
시스템 인증 키(
UEFI Secure Boot가 비활성화되어 있고
module.sig_enforce
커널 매개변수가 지정되지 않은 경우:- 서명되지 않은 커널 모듈과 서명되지 않은 커널 모듈을 공개 키없이 로드할 수 있습니다.
시스템이 UEFI 기반이 아니거나 UEFI Secure Boot가 비활성화된 경우 다음을 수행합니다.
-
커널에 포함된 키만
.builtin_trusted_keys
및.platform
에 로드됩니다. - 커널을 다시 빌드하지 않고 키 집합을 보강할 수 있는 기능이 없습니다.
-
커널에 포함된 키만
모듈 서명됨 | 공개 키를 발견하고 서명이 유효한 경우 | UEFI Secure Boot 상태 | sig_enforce | 모듈 로드 | 커널 테인트됨 |
---|---|---|---|---|---|
서명되지 않음 | - | 활성화되지 않음 | 활성화되지 않음 | 성공 | 있음 |
활성화되지 않음 | 활성화됨 | 실패 | - | ||
활성화됨 | - | 실패 | - | ||
서명됨 | 없음 | 활성화되지 않음 | 활성화되지 않음 | 성공 | 있음 |
활성화되지 않음 | 활성화됨 | 실패 | - | ||
활성화됨 | - | 실패 | - | ||
서명됨 | 있음 | 활성화되지 않음 | 활성화되지 않음 | 성공 | 없음 |
활성화되지 않음 | 활성화됨 | 성공 | 없음 | ||
활성화됨 | - | 성공 | 없음 |