红帽全球峰会5.2. 了解云上 RHEL 的安全引导
安全引导是统一可扩展固件接口(UEFI)的一个功能。它确保在引导时只有可信和数字签名的程序和组件(如引导装载程序和内核)运行。安全引导根据硬件中存储的可信密钥来检查数字签名。如果检测到任何被篡改的组件或被不信任的实体签名的组件,它将中止引导过程。此操作防止恶意软件破坏操作系统。
通过确保只有受信任的实体参与引导链,安全引导在配置机密虚拟机(CVM)中起着至关重要的作用。它通过定义的接口验证对特定设备路径的访问,强制使用最新的配置,并永久覆盖以前的配置。当 Red Hat Enterprise Linux (RHEL)内核在启用了安全引导的情况下引导时,它会进入 lockdown 模式,只允许加载被可信厂商签名的内核模块。因此,安全引导增强了操作系统引导序列的安全。
5.2.1. 安全引导的组件
安全引导机制包括固件、签名数据库、加密密钥、引导装载程序、硬件模块和操作系统。以下是 UEFI 可信变量的组件:
-
密钥交换密钥数据库(KEK):公钥交换,来在 RHEL 操作系统和虚拟机固件之间建立信任。您还可以使用这些密钥更新允许的签名数据库(
db)和禁止的签名数据库(dbx)。 - 平台密钥数据库(PK):一个自签名的单密钥数据库,来在虚拟机固件和云平台之间建立信任。PK 还更新 KEK 数据库。
-
允许的签名数据库(
db):维护证书列表或二进制哈希的数据库,以检查二进制文件是否可以在系统上引导。另外,来自db的所有证书都会被导入到 RHEL 内核的.platformkeyring 中。使用此功能,您可以在lockdown模式下添加和加载签名的第三方内核模块。 -
禁止的签名数据库(
dbx):维护一个不允许在系统中引导的证书列表或二进制哈希的数据库。
针对 dbx 数据库的二进制文件检查和安全引导高级目标(SBAT)机制。使用 SBAT,您可以通过将签名二进制文件的证书保持为有效来撤销特定二进制文件的旧版本。
5.2.2. 云上 RHEL 的安全引导阶段
当 RHEL 实例在 Unified Kernel Image (UKI)模式下引导并启用了安全引导时,RHEL 实例会按照以下顺序与云服务基础设施进行交互:
- 初始化 :当 RHEL 实例引导时,云托管固件最初会引导并实施安全引导机制。
- 变量存储初始化 :固件会从变量存储初始化 UEFI 变量,这是一个专用的存储区域,用于固件需要管理引导过程和运行时操作的信息。当 RHEL 实例首次启动时,存储会从与虚拟机镜像关联的默认值初始化。
引导装载程序 :引导时,固件会加载第一阶段引导装载程序。对于 x86 UEFI 环境中的 RHEL 实例,第一阶段引导装载程序是 shim。shim 引导装载程序验证并加载引导过程的下一阶段,并作为 UEFI 和 GRUB 之间的桥梁。
-
RHEL 中的 shim x86 二进制文件目前由
Microsoft 公司 UEFI CA 2011Microsoft 证书签名,因此 RHEL 实例可以在启用了安全引导模式的不同硬件和虚拟平台上引导,其中允许的签名数据库(db)有默认的 Microsoft 证书。 -
shim 二进制文件使用 Red Hat Secure Boot CA 以及可选的 Machine Owner Key (
MOK)扩展了可信证书的列表。
-
RHEL 中的 shim x86 二进制文件目前由
-
UKI: shim 二进制文件加载 RHEL UKI (
kernel-uki-virt软件包)。x86_64 架构上相应的证书Red Hat Secure Boot Signing 504签署 UKI。您可以在redhat-sb-certs软件包中找到此证书。Red Hat Secure Boot CA 为这个证书签名,因此检查成功。 -
UKI 附加组件 :当您使用 UKI
cmdline扩展时,RHEL 内核会主动针对db、MOK检查其签名,以及与 shim 一起提供的证书。此过程确保操作系统厂商 RHEL 或用户已签署了扩展。
当 RHEL 内核在安全引导模式下引导时,它会进入 lockdown 模式。进入 lockdown 后,RHEL 内核将 db 密钥添加到 .platform keyring 中,并将 MOK 密钥添加到 .machine keyring 中。在内核构建过程中,构建系统使用临时密钥,后者由私钥和公钥组成。构建系统签署标准的 RHEL 内核模块,如 kernel-modules-core、kernel-modules、kernel-modules-extra。完成每个内核构建后,私钥不再适用于为第三方模块签名。您可以将 db 和 MOK 中的证书用于此目的。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}