第 5 章 使用安全引导在 GCP 上配置 RHEL
统一可扩展固件接口(UEFI)规格中的安全引导机制控制引导时程序的执行。安全引导确保仅执行可信和授权的程序,同时在引导时通过验证引导装载程序和其他组件的数字签名来防止未经授权的程序。
5.1. 安全引导介绍
安全引导机制是一种安全协议,通过使用定义的接口为特定设备路径提供身份验证访问。连续验证配置会覆盖以前的配置,方法是使其不可检索。它确保可信供应商签署了引导装载程序和内核。Red Hat Enterprise Linux 固件根据硬件上存储的可信密钥检查引导装载程序和相关组件的数字签名。如果任何组件被不受信任的实体篡改或签名,引导过程将中止,这样可防止潜在的恶意软件控制系统。另外,RHEL 内核提供 锁定模式
,以确保只加载可信厂商签名的内核模块。