5.2. 安全引导组件
安全引导由固件、签名数据库、加密密钥、引导装载程序和硬件模块组成。UEFI 信任序列的组件如下:
-
密钥交换密钥数据库(KEK):在 RHEL 实例和平台固件(如硬件虚拟机(HVM))之间建立信任的公钥交换。您还可以使用这些密钥更新允许签名数据库(
db
)和禁止签名数据库(dbx
)。 - 平台密钥数据库(PK):一个自签名的单个密钥数据库,用于在 RHEL 实例和云服务供应商之间建立信任。它还会更新 KEK 数据库。
-
允许签名数据库(
db
):维护证书或二进制哈希列表的数据库,以检查允许二进制文件在系统上引导的二进制文件。另外,您还可以从内核.platform
密钥环中的db
导入所有证书。此功能允许您在锁定模式下添加和加载签名的第三方内核模块。 -
禁止签名数据库(
dbx
):维护要在系统上引导的禁止证书或二进制哈希的列表的数据库。
注意
针对 dbx
数据库以及安全引导高级目标(SBAT)机制的二进制文件检查。SBAT 允许您通过保持以有效签署二进制文件的证书来撤销特定二进制文件的旧版本。
其他资源