Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

4.3. X.509 키를 사용하여 커널 모듈을 인증하기 위한 요구 사항

RHEL 8에서 커널 모듈이 로드되면 커널은 커널 시스템 인증 키(.builtin_trusted_keys) 및 커널 플랫폼 인증 키(. platform)에서 공개 X.509 키와 비교하여 모듈의 서명을 확인합니다. .platform 인증 키에는 타사 플랫폼 공급자 및 사용자 지정 공개 키가 포함되어 있습니다. 커널 system .blacklist 키의 키는 확인에서 제외됩니다. 다음 섹션에서는 시스템의 다양한 소스에서 로드된 키의 예제, 키, 키에 대한 개요를 제공합니다. 또한 커널 모듈을 인증하는 방법을 확인할 수 있습니다.

UEFI Secure Boot 기능이 활성화된 시스템에서 커널 모듈을 로드하려면 특정 조건을 충족해야 합니다.

UEFI Secure Boot가 활성화되어 있거나 module.sig_enforce 커널 매개변수가 지정된 경우 다음을 수행합니다.

  • 시스템 인증 키(.builtin_trusted_keys) 및 플랫폼 인증 키(. platform)의 키와 서명된 커널 모듈만 로드할 수 있습니다.
  • 공개 키는 시스템 해지 키 인증 키(.blacklist)에 없어야 합니다.

UEFI Secure Boot가 비활성화되어 있고 module.sig_enforce 커널 매개변수가 지정되지 않은 경우:

  • 서명되지 않은 커널 모듈과 서명되지 않은 커널 모듈을 공개 키없이 로드할 수 있습니다.

시스템이 UEFI 기반이 아니거나 UEFI Secure Boot가 비활성화된 경우 다음을 수행합니다.

  • 커널에 포함된 키만 .builtin_trusted_keys.platform 에 로드됩니다.
  • 커널을 다시 빌드하지 않고 키 집합을 보강할 수 있는 기능이 없습니다.

표 4.2. 커널 모듈 인증 요구 사항 로드

모듈 서명됨공개 키를 발견하고 서명이 유효한 경우UEFI Secure Boot 상태sig_enforce모듈 로드커널 테인트됨

서명되지 않음

-

활성화되지 않음

활성화되지 않음

성공

있음

활성화되지 않음

활성화됨

실패

-

활성화됨

-

실패

-

서명됨

없음

활성화되지 않음

활성화되지 않음

성공

있음

활성화되지 않음

활성화됨

실패

-

활성화됨

-

실패

-

서명됨

있음

활성화되지 않음

활성화되지 않음

성공

없음

활성화되지 않음

활성화됨

성공

없음

활성화됨

-

성공

없음