Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

4장. 보안 부팅을 위한 커널 모듈 서명

서명된 커널 모듈을 사용하여 시스템의 보안을 강화할 수 있습니다. 다음 섹션에서는 Secure Boot가 활성화된 UEFI 기반 빌드 시스템에서 RHEL 8과 함께 사용할 수 있도록 개인용으로 빌드된 커널 모듈을 자체 서명하는 방법에 대해 설명합니다. 또한 이 섹션에서는 커널 모듈을 배포하려는 타겟 시스템으로 공개 키를 가져오는 데 사용할 수 있는 옵션에 대한 개요를 제공합니다.

Secure Boot가 활성화된 경우 UEFI 운영 체제 부트 로더, Red Hat Enterprise Linux 커널 및 모든 커널 모듈에 개인 키로 서명하고 해당 공개 키로 인증해야 합니다. 서명 및 인증되지 않은 경우 시스템은 부팅 프로세스를 완료할 수 없습니다.

RHEL 8 배포판에는 다음이 포함됩니다.

  • 서명된 부트 로더
  • 서명된 커널
  • 서명된 커널 모듈

또한 서명된 1단계 부트 로더와 서명된 커널에는 Red Hat 공개 키가 포함되어 있습니다. 서명된 실행 가능 바이너리 및 포함된 키를 사용하면 RHEL 8에서 UEFI 펌웨어가 UEFI Secure Boot Boot를 지원하는 시스템에서 제공하는 Microsoft UEFI Secure Boot 인증 기관 키를 설치, 부팅 및 실행할 수 있습니다. 일부 UEFI 기반 시스템에 Secure Boot 지원이 포함된 것은 아닙니다.

사전 요구 사항

외부에서 빌드된 커널 모듈에 서명할 수 있으려면 빌드 시스템에 다음 테이블에 나열된 유틸리티를 설치합니다.

표 4.1. 필수 유틸리티

유틸리티패키지에 의해 제공사용됨목적

openssl

openssl

빌드 시스템

공개 및 개인 X.509 키 쌍 생성

sign-file

kernel-devel

빌드 시스템

개인 키로 커널 모듈에 서명하는 데 사용되는 실행 가능 파일

mokutil

mokutil

대상 시스템

공개 키를 수동으로 등록하는 데 사용되는 선택적 유틸리티

keyctl

keyutils

대상 시스템

시스템 인증 키에 공개 키를 표시하는 데 사용되는 선택적 유틸리티

참고

커널 모듈을 빌드하고 서명하는 빌드 시스템에 UEFI Secure Boot를 활성화할 필요가 없으며 UEFI 기반 시스템일 필요도 없습니다.

4.1. UEFI Secure Boot이란 무엇입니까?

UEFI( Unified Extensible Firmware Interface ) Secure Boot 기술을 사용하면 시스템 부트 로더가 암호화 키로 서명되었는지 확인할 수 있습니다. 펌웨어에 포함된 공개 키의 데이터베이스는 서명 키를 인증합니다. 다음 단계 부트 로더 및 커널에서 서명을 확인할 수 있습니다. 결과적으로 신뢰할 수 있는 키로 서명되지 않은 커널 공간 코드를 실행하지 못하도록 할 수 있습니다.

UEFI Secure Boot는 다음과 같이 펌웨어에서 서명된 드라이버 및 커널 모듈로 신뢰 체인을 설정합니다.

  • UEFI 개인 키 서명 및 공개 키는 shim 첫 단계 부팅 로더를 인증합니다. 인증 기관 (CA)은 공개 키에 서명합니다. CA는 펌웨어 데이터베이스에 저장됩니다.
  • shim.efi 에는 GRUB 2 부트 로더와 커널을 인증하기 위한 Red Hat 공개 키(CA 키 1) 가 포함되어 있습니다.
  • 커널에 차례로 드라이버와 모듈을 인증하는 공개 키가 포함되어 있습니다.

Secure Boot는 UEFI 사양의 부팅 경로 검증 구성 요소입니다. 사양은 다음을 정의합니다.

  • 비휘발성 스토리지에서 암호로 보호된 UEFI 변수를 위한 프로그래밍 인터페이스
  • UEFI 변수에 신뢰할 수 있는 X.509 루트 인증서 저장
  • 부트 로더 및 드라이버와 같은 UEFI 애플리케이션 검증
  • 알려진 만료된 인증서 및 애플리케이션 해시를 취소하는 절차

UEFI Secure Boot는 두 번째 단계의 부트 로더의 설치 또는 제거를 방지하지 않습니다. 또한 이러한 변경 사항에 대한 명시적인 사용자 확인이 필요하지 않습니다. 부트 로더가 설치 또는 업데이트될 때 아닌 부팅 중에 서명을 확인합니다. 따라서 UEFI Secure Boot는 부팅 경로 조작을 중지하지 않습니다. 인증되지 않은 변경 사항을 감지하는 데 도움이 됩니다.

참고

부트 로더 또는 커널은 시스템에서 신뢰할 수 있는 키가 서명하는 한 작동합니다.