21.9. 使用私钥签名内核


如果启用了 UEFI 安全引导机制,您可以通过载入签名的内核在系统上获得增强的安全好处。

先决条件

步骤

  • 在 x64 构架上:

    1. 创建一个签名的镜像:

      # pesign --certificate 'Custom Secure Boot key' \
               --in vmlinuz-version \
               --sign \
               --out vmlinuz-version.signed

      使用 vmlinuz 文件的版本后缀替换 version,使用您之前选择的名称替换 Custom Secure Boot key

    2. 可选:检查签名:

      # pesign --show-signature \
               --in vmlinuz-version.signed
    3. 使用签名镜像覆盖未签名的镜像:

      # mv vmlinuz-version.signed vmlinuz-version
  • 在 64 位 ARM 架构上:

    1. 解压缩 vmlinuz 文件:

      # zcat vmlinuz-version > vmlinux-version
    2. 创建一个签名的镜像:

      # pesign --certificate 'Custom Secure Boot key' \
               --in vmlinux-version \
               --sign \
               --out vmlinux-version.signed
    3. 可选:检查签名:

      # pesign --show-signature \
               --in vmlinux-version.signed
    4. 压缩 vmlinux 文件:

      # gzip --to-stdout vmlinux-version.signed > vmlinuz-version
    5. 删除未压缩的 vmlinux 文件:

      # rm vmlinux-version*
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.