更新时间:2024-09-13 GMT+08:00

安全启动

安全启动

通过安全启动(SecureBoot)可以保证系统启动过程中各个部件的完整性,防止没有经过合法签名的部件被加载运行,从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。HCE 2.0支持安全启动。

  • 查看是否开启SecureBoot

    HCE启动成功后,可以使用下面命令判断SecureBoot是否启用。

    mokutil --sb-state
    SecureBoot enabled   #SecureBoot已启用
  • 启用kernel ko签名校验

    安全启动通过校验签名来实现。HCE 2.0的内核默认未编译强制启用签名校验,需要通过kernel的启动参数module.sig_enforce进行控制。

    启用ko签名校验:修改/boot/efi/EFI/hce/grub.cfg文件,增加启动参数module.sig_enforce=1。

    Kernel参数

    说明

    module.sig_enforce

    0

    关闭内核对ko模块的校验,重启生效。

    1

    开启内核对ko模块的校验,重启生效。

  • HCE 2.0签名公钥证书

    HCE 2.0 KEK证书和HCE 2.0 UEFI签名证书详见https://repo.huaweicloud.com/hce/2.0/updates/x86_64/Packages/路径下的hce-sign-certificate-1.0-1.hce2.x86_64.rpm。