3.4. Exigences pour l'authentification des modules du noyau avec des clés X.509
Dans Red Hat Enterprise Linux 9, lorsqu'un module du noyau est chargé, le noyau vérifie la signature du module par rapport aux clés publiques X.509 du trousseau de clés du système du noyau (.builtin_trusted_keys) et du trousseau de clés de la plate-forme du noyau (.platform). Le trousseau .platform contient des clés provenant de fournisseurs de plateformes tiers et des clés publiques personnalisées. Les clés du trousseau du système du noyau .blacklist sont exclues de la vérification.
Certaines conditions doivent être remplies pour charger les modules du noyau sur les systèmes dont la fonctionnalité UEFI Secure Boot est activée :
Si l'UEFI Secure Boot est activé ou si le paramètre
module.sig_enforcekernel a été spécifié :-
Vous ne pouvez charger que les modules signés du noyau dont les signatures ont été authentifiées à l'aide des clés du trousseau de clés du système (
.builtin_trusted_keys) et du trousseau de clés de la plate-forme (.platform). -
La clé publique ne doit pas figurer dans le trousseau des clés révoquées du système (
.blacklist).
-
Vous ne pouvez charger que les modules signés du noyau dont les signatures ont été authentifiées à l'aide des clés du trousseau de clés du système (
Si UEFI Secure Boot est désactivé et que le paramètre
module.sig_enforcekernel n'a pas été spécifié :- Vous pouvez charger des modules de noyau non signés et des modules de noyau signés sans clé publique.
Si le système n'est pas basé sur l'UEFI ou si le Secure Boot de l'UEFI est désactivé :
-
Seules les clés intégrées dans le noyau sont chargées sur
.builtin_trusted_keyset.platform. - Vous n'avez pas la possibilité d'augmenter ce jeu de clés sans reconstruire le noyau.
-
Seules les clés intégrées dans le noyau sont chargées sur
Tableau 3.2. Exigences d'authentification du module du noyau pour le chargement
| Module signé | Clé publique trouvée et signature valide | État de l'UEFI Secure Boot | sig_enforce | Chargement du module | Noyau altéré |
|---|---|---|---|---|---|
| Non signé | - | Non activé | Non activé | Réussite | Oui |
| Non activé | Activé | Échecs | - | ||
| Activé | - | Échecs | - | ||
| Signé | Non | Non activé | Non activé | Réussite | Oui |
| Non activé | Activé | Échecs | - | ||
| Activé | - | Échecs | - | ||
| Signé | Oui | Non activé | Non activé | Réussite | Non |
| Non activé | Activé | Réussite | Non | ||
| Activé | - | Réussite | Non |