19.3. UEFI セキュアブートのサポート

カーネルとロードされたすべてのドライバーが信頼できる鍵で署名されている場合、UEFI セキュアブートが有効になっているシステムに Red Hat Enterprise Linux 9 をインストールして実行できます。Red Hat は、関連する Red Hat キーによって署名および認証されたカーネルとドライバーを提供します。

外部でビルドされたカーネルまたはドライバーをロードする場合は、それらにも署名する必要があります。

UEFI セキュアブートによる制限

  • システムは、署名が適切に認証された後にのみ、カーネルモードコードを実行します。
  • GRUB モジュールの署名および検証を行うインフラストラクチャーがないため、GRUB モジュールの読み込みは無効です。モジュールの読み込みを許可すると、セキュアブートが定義するセキュリティー境界内で信頼できないコードが実行されることになります。
  • Red Hat は、Red Hat Enterprise Linux 9 でサポートされているすべてのモジュールを含む署名済み GRUB バイナリーを提供します。