3.7. Exemple de sortie des trousseaux de clés du système
Vous pouvez afficher des informations sur les clés des trousseaux de clés du système à l'aide de l'utilitaire keyctl du paquetage keyutils.
Conditions préalables
- Vous disposez des droits d'accès à la racine.
-
Vous avez installé l'utilitaire
keyctlà partir du paquetagekeyutils.
Exemple 3.1. Sortie de porte-clés
Voici un exemple abrégé de la sortie des trousseaux de clés .builtin_trusted_keys, .platform, et .blacklist d'un système Red Hat Enterprise Linux 9 où l'UEFI Secure Boot est activé.
# keyctl list %:.builtin_trusted_keys 6 keys in keyring: ...asymmetric: Red Hat Enterprise Linux Driver Update Program (key 3): bf57f3e87... ...asymmetric: Red Hat Secure Boot (CA key 1): 4016841644ce3a810408050766e8f8a29... ...asymmetric: Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed... ...asymmetric: Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e... ...asymmetric: Red Hat Enterprise Linux kernel signing key: 4249689eefc77e95880b... ...asymmetric: Red Hat Enterprise Linux kpatch signing key: 4d38fd864ebe18c5f0b7... # keyctl list %:.platform 4 keys in keyring: ...asymmetric: VMware, Inc.: 4ad8da0472073... ...asymmetric: Red Hat Secure Boot CA 5: cc6fafe72... ...asymmetric: Microsoft Windows Production PCA 2011: a929f298e1... ...asymmetric: Microsoft Corporation UEFI CA 2011: 13adbf4e0bd82... # keyctl list %:.blacklist 4 keys in keyring: ...blacklist: bin:f5ff83a... ...blacklist: bin:0dfdbec... ...blacklist: bin:38f1d22... ...blacklist: bin:51f831f...
Le trousseau .builtin_trusted_keys de l'exemple montre l'ajout de deux clés provenant des clés UEFI Secure Boot db ainsi que de la clé Red Hat Secure Boot (CA key 1), qui est intégrée dans le chargeur de démarrage shim.
Exemple 3.2. Sortie de la console du noyau
L'exemple suivant montre la sortie de la console du noyau. Les messages identifient les clés avec une source liée à l'UEFI Secure Boot. Il s'agit de UEFI Secure Boot db, embedded shim, et MOK list.
# dmesg | egrep 'integrity.*cert'
[1.512966] integrity: Loading X.509 certificate: UEFI:db
[1.513027] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a929023...
[1.513028] integrity: Loading X.509 certificate: UEFI:db
[1.513057] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309...
[1.513298] integrity: Loading X.509 certificate: UEFI:MokListRT (MOKvar table)
[1.513549] integrity: Loaded X.509 cert 'Red Hat Secure Boot CA 5: cc6fa5e72868ba494e93...Ressources supplémentaires
-
keyctl(1),dmesg(1)pages de manuel