Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

4.8. 개인 키로 커널 모듈 서명

UEFI Secure Boot 메커니즘이 활성화된 경우 서명된 커널 모듈을 로드하여 시스템에서 향상된 보안 이점을 얻을 수 있습니다. 다음 섹션에서는 개인 키로 커널 모듈에 서명하는 방법을 설명합니다.

사전 요구 사항

절차

  • 아래 예와 같이 매개 변수를 사용하여 Sign-file 유틸리티를 실행합니다.

    # /usr/src/kernels/$(uname -r)/scripts/sign-file sha256 my_signing_key.priv my_signing_key_pub.der my_module.ko

    서명-파일 계산 및 커널 모듈 파일의 ELF 이미지에 서명을 직접 추가합니다. modinfo 유틸리티를 사용하여 커널 모듈 서명에 대한 정보를 표시할 수 있습니다(있는 경우).

    참고

    첨부된 서명은 ELF 이미지 섹션에 포함되지 않으며 ELF 이미지의 공식적인 일부가 아닙니다. 따라서 readelf 와 같은 유틸리티는 커널 모듈에 서명을 표시할 수 없습니다.

    이제 커널 모듈을 로드할 준비가 되었습니다. 서명된 커널 모듈은 UEFI Secure Boot가 비활성화되거나 UEFI가 아닌 시스템에서도 로드할 수 있습니다. 즉, 서명된 커널 모듈과 서명되지 않은 버전의 커널 모듈을 모두 제공할 필요가 없습니다.

    중요

    RHEL 8에서 키 쌍의 유효 날짜는 중요합니다. 키는 만료되지 않지만 커널 모듈은 서명 키의 유효 기간 내에 서명해야 합니다. sign-file 유틸리티는 이에 대해 경고하지 않습니다. 예를 들어 2019년에만 유효한 키는 해당 키로 2019년에 서명된 커널 모듈을 인증하는 데 사용할 수 있습니다. 그러나 사용자는 2020년 커널 모듈에 서명하는 데 해당 키를 사용할 수 없습니다.