搜索

第 3 章 为安全引导签名内核和模块

download PDF

您可以使用签名的内核和签名的内核模块来加强系统的安全性。在启用了安全引导机制的基于 UEFI 的构建系统中,您可以自我签名一个私有构建的内核或内核模块。另外,您可以将公钥导入到要部署内核或内核模块的目标系统中。

如果启用了安全引导机制,则必须使用私钥签名以下所有组件,并使用对应的公钥进行身份验证:

  • UEFI 操作系统引导装载程序
  • Red Hat Enterprise Linux 内核
  • 所有内核模块

如果这些组件中的任何一个都没有签名和验证,则系统将无法完成引导过程。

RHEL 8 包括:

  • 签名的引导装载程序
  • 签名的内核
  • 签名的内核模块

此外,签名的第一阶段引导装载程序和签名的内核包括嵌入的红帽公钥。这些签名的可执行二进制文件和嵌入式密钥可让 RHEL 8 在支持 UEFI 安全引导的系统上使用 UEFI 固件提供的 Microsoft UEFI 安全引导认证认证机构密钥安装、启动并运行。

注意
  • 不是所有基于 UEFI 的系统都包括对安全引导的支持。
  • 构建系统(构建和签署内核模块)不需要启用 UEFI 安全引导,甚至不需要是基于 UEFI 的系统。

3.1. 先决条件

  • 要能够为外部构建的内核模块签名,请从以下软件包安装工具:

    # yum install pesign openssl kernel-devel mokutil keyutils
    表 3.1. 所需工具
    工具由软件包提供用于目的

    efikeygen

    pesign

    构建系统

    生成公共和专用 X.509 密钥对

    openssl

    openssl

    构建系统

    导出未加密的私钥

    sign-file

    kernel-devel

    构建系统

    用来使用私钥为内核模块签名的可执行文件

    mokutil

    mokutil

    目标系统

    用于手动注册公钥的可选工具

    keyctl

    keyutils

    目标系统

    用于在系统密钥环中显示公钥的可选工具

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.