安全启动
安全启动
通过安全启动(SecureBoot)可以保证系统启动过程中各个部件的完整性,防止没有经过合法签名的部件被加载运行,从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。HCE 2.0支持安全启动。
- 查看是否开启SecureBoot
HCE启动成功后,可以使用下面命令判断SecureBoot是否启用。
mokutil --sb-state SecureBoot enabled #SecureBoot已启用
- 启用kernel ko签名校验
安全启动通过校验签名来实现。HCE 2.0的内核默认未编译强制启用签名校验,需要通过kernel的启动参数module.sig_enforce进行控制。
启用ko签名校验:修改/boot/efi/EFI/hce/grub.cfg文件,增加启动参数module.sig_enforce=1。
Kernel参数
值
说明
module.sig_enforce
0
关闭内核对ko模块的校验,重启生效。
1
开启内核对ko模块的校验,重启生效。
- HCE 2.0签名公钥证书
HCE 2.0 KEK证书和HCE 2.0 UEFI签名证书详见https://repo.huaweicloud.com/hce/2.0/updates/x86_64/Packages/路径下的hce-sign-certificate-1.0-1.hce2.x86_64.rpm。