5.10. 使用 UEFI 安全引导引导系统

要增强操作系统的安全性,在启用了 UEFI 安全引导的系统上引导 Red Hat Enterprise Linux 版本时使用 UEFI 安全引导功能进行签名验证。

5.10.1. UEFI 安全引导和 RHEL 发行版本

UEFI 安全引导要求操作系统内核使用可识别的私钥进行签名。UEFI 安全引导然后使用对应的公钥验证签名。

可以使用 Machine Owner Key(MOK)功能在系统中添加自定义密钥。

5.10.2. 为 UEFI 安全引导添加自定义公钥

本节介绍如何为 UEFI 安全引导添加现有自定义公钥。

先决条件

  • 您已在系统上禁用了 UEFI 安全引导。
  • 您已登录到系统,并已完成了 Initial Setup 窗口中的任务。

流程

  1. 生成公钥并将其存储在本地驱动器中。例如,my_signing_key_pub.der
  2. 在系统的 Machine Owner Key(MOK)列表中注册红帽自定义公钥:

    # mokutil --import my_signing_key_pub.der
  3. 出现提示时输入密码。
  4. 重新启动系统并按任意键继续启动。Shim UEFI 密钥管理实用程序在系统启动期间启动。
  5. 选择 Enroll MOK
  6. 选择 Continue
  7. Yes 并输入密码。

    密钥导入到系统的固件中。

  8. 选择 Reboot
  9. 在系统上启用安全引导。

其他资源

5.10.3. 删除自定义公钥

这个步骤描述了如何删除自定义公钥。

步骤

  1. 从系统的 Machine Owner Key(MOK)列表中删除红帽自定义公钥:

    # mokutil --reset
  2. 出现提示时输入密码。
  3. 重新启动系统并按任意键继续启动。Shim UEFI 密钥管理实用程序在系统启动期间启动。
  4. 选择 Reset MOK
  5. 选择 Continue
  6. 选择 Yes,并输入在第 2 步中指定的密码。密钥已从系统的固件中删除。
  7. 选择 Reboot