Red Hat Training
A Red Hat training course is available for RHEL 8
3.12.2. Exemplo de saída de chaveiros de sistema
Você pode exibir informações sobre as chaves nos chaveiros do sistema usando o utilitário keyctl
.
A seguir, um exemplo abreviado de .builtin_trusted_keys
, .platform
e .blacklist
keyrings de um sistema RHEL 8 onde o UEFI Secure Boot está habilitado.
# keyctl list %:.builtin_trusted_keys 6 keys in keyring: ...asymmetric: Red Hat Enterprise Linux Driver Update Program (key 3): bf57f3e87... ...asymmetric: Red Hat Secure Boot (CA key 1): 4016841644ce3a810408050766e8f8a29... ...asymmetric: Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed... ...asymmetric: Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e... ...asymmetric: Red Hat Enterprise Linux kernel signing key: 4249689eefc77e95880b... ...asymmetric: Red Hat Enterprise Linux kpatch signing key: 4d38fd864ebe18c5f0b7... # keyctl list %:.platform 4 keys in keyring: ...asymmetric: VMware, Inc.: 4ad8da0472073... ...asymmetric: Red Hat Secure Boot CA 5: cc6fafe72... ...asymmetric: Microsoft Windows Production PCA 2011: a929f298e1... ...asymmetric: Microsoft Corporation UEFI CA 2011: 13adbf4e0bd82... # keyctl list %:.blacklist 4 keys in keyring: ...blacklist: bin:f5ff83a... ...blacklist: bin:0dfdbec... ...blacklist: bin:38f1d22... ...blacklist: bin:51f831f...
O chaveiro .builtin_trusted_keys
acima mostra a adição de duas chaves do Boot Seguro da UEFI {\i1}"db{\i} assim como o Red Hat Secure Boot (CA key 1)
, que está embutido no carregador de inicialização shim.efi
.
O exemplo a seguir mostra a saída do console do kernel. As mensagens identificam as chaves com uma fonte relacionada ao UEFI Secure Boot. Estas incluem a UEFI Secure Boot db, calço embutido e a lista MOK.
# dmesg | grep 'EFI: Loaded cert'
[5.160660] EFI: Loaded cert 'Microsoft Windows Production PCA 2011: a9290239...
[5.160674] EFI: Loaded cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309b...
[5.165794] EFI: Loaded cert 'Red Hat Secure Boot (CA key 1): 4016841644ce3a8...
Recursos adicionais
-
Para mais informações sobre
keyctl
vejakeyctl(1)
página do manual. -
Para mais informações sobre
dmesg
vejadmesg(1)
página do manual.