5.2. 安全引导组件


安全引导由固件、签名数据库、加密密钥、引导装载程序和硬件模块组成。UEFI 信任序列的组件如下:

  • 密钥交换密钥数据库(KEK):在 RHEL 实例和平台固件(如硬件虚拟机(HVM))之间建立信任的公钥交换。您还可以使用这些密钥更新允许签名数据库(db)和禁止签名数据库(dbx)。
  • 平台密钥数据库(PK):一个自签名的单个密钥数据库,用于在 RHEL 实例和云服务供应商之间建立信任。它还会更新 KEK 数据库。
  • 允许签名数据库(db):维护证书或二进制哈希列表的数据库,以检查允许二进制文件在系统上引导的二进制文件。另外,您还可以从内核 .platform 密钥环中的 db 导入所有证书。此功能允许您在锁定模式下添加和加载签名的第三方内核模块。
  • 禁止签名数据库(dbx):维护要在系统上引导的禁止证书或二进制哈希的列表的数据库。
注意

针对 dbx 数据库以及安全引导高级目标(SBAT)机制的二进制文件检查。SBAT 允许您通过保持以有效签署二进制文件的证书来撤销特定二进制文件的旧版本。

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.