3장. 커널 및 Secure Boot에 대한 모듈 서명
서명된 커널 및 서명된 커널 모듈을 사용하여 시스템의 보안을 강화할 수 있습니다. Secure Boot가 활성화된 UEFI 기반 빌드 시스템에서는 개인 빌드 커널 또는 커널 모듈을 자체 서명할 수 있습니다. 또한 커널 또는 커널 모듈을 배포하려는 대상 시스템으로 공개 키를 가져올 수 있습니다.
Secure Boot가 활성화된 경우 다음 구성 요소를 모두 개인 키로 서명하고 해당 공개 키로 인증해야 합니다.
- UEFI 운영 체제 부트 로더
- Red Hat Enterprise Linux 커널
- 모든 커널 모듈
이러한 구성 요소 중 하나라도 서명 및 인증되지 않은 경우 시스템에서 부팅 프로세스를 완료할 수 없습니다.
RHEL 8에는 다음이 포함됩니다.
- 서명된 부트 로더
- 서명된 커널
- 서명된 커널 모듈
또한 서명된 1단계 부트 로더와 서명된 커널에는 Red Hat 공개 키가 포함되어 있습니다. 이러한 서명된 실행 바이너리 및 포함된 키를 사용하면 RHEL 8에서 UEFI Secure Boot 부팅을 지원하는 시스템의 UEFI 펌웨어에서 제공하는 Microsoft UEFI Secure Boot 인증 기관 키를 설치, 부팅 및 실행할 수 있습니다.
- 일부 UEFI 기반 시스템에서 Secure Boot에 대한 지원이 포함된 것은 아닙니다.
- 커널 모듈을 빌드하고 서명하는 빌드 시스템에 UEFI Secure Boot를 활성화할 필요가 없으며 UEFI 기반 시스템일 필요도 없습니다.
3.1. 사전 요구 사항
외부에서 빌드된 커널 모듈에 서명하려면 다음 패키지에서 유틸리티를 설치합니다.
# yum install pesign openssl kernel-devel mokutil keyutils
표 3.1. 필수 유틸리티 유틸리티 패키지에 의해 제공 사용됨 목적 efikeygen
pesign
빌드 시스템
공개 및 개인 X.509 키 쌍 생성
openssl
openssl
빌드 시스템
암호화되지 않은 개인 키 내보내기
sign-file
kernel-devel
빌드 시스템
개인 키로 커널 모듈에 서명하는 데 사용되는 실행 가능 파일
mokutil
mokutil
대상 시스템
공개 키를 수동으로 등록하는 데 사용되는 선택적 유틸리티
keyctl
keyutils
대상 시스템
시스템 인증 키에 공개 키를 표시하는 데 사용되는 선택적 유틸리티