5.10. 使用 UEFI 安全引导引导系统
要增强操作系统的安全性,在启用了 UEFI 安全引导的系统上引导 Red Hat Enterprise Linux 版本时使用 UEFI 安全引导功能进行签名验证。
5.10.1. UEFI 安全引导和 RHEL 发行版本
UEFI 安全引导要求操作系统内核使用可识别的私钥进行签名。UEFI 安全引导然后使用对应的公钥验证签名。
可以使用 Machine Owner Key(MOK)功能在系统中添加自定义密钥。
5.10.2. 为 UEFI 安全引导添加自定义公钥
您可以为 UEFI 安全引导添加现有自定义公钥。
先决条件
- 您已在系统上禁用了 UEFI 安全引导。
- 您已登录到系统,并已完成了 Initial Setup 窗口中的任务。
流程
- 生成公钥并将其存储在本地驱动器中。例如,my_signing_key_pub.der。
在系统的 Machine Owner Key(MOK)列表中注册红帽自定义公钥:
# mokutil --import my_signing_key_pub.der
- 出现提示时输入密码。
- 重新启动系统并按任意键继续启动。Shim UEFI 密钥管理实用程序在系统启动期间启动。
- 选择 Enroll MOK。
- 选择 Continue。
选 Yes 并输入密码。
密钥导入到系统的固件中。
- 选择 Reboot。
- 在系统上启用安全引导。
其他资源
5.10.3. 删除自定义公钥
这个步骤描述了如何删除自定义公钥。
步骤
从系统的 Machine Owner Key(MOK)列表中删除红帽自定义公钥:
#
mokutil --reset- 出现提示时输入密码。
- 重新启动系统并按任意键继续启动。Shim UEFI 密钥管理实用程序在系统启动期间启动。
-
选择
Reset MOK
。 -
选择
Continue
。 -
选择
Yes
,并输入在第 2 步中指定的密码。密钥已从系统的固件中删除。 -
选择
Reboot
。