Huawei Cloud EulerOS
Huawei Cloud EulerOS
- 最新动态
- 服务公告
- 产品介绍
- 用户指南
-
常见问题
- CentOS Linux停止维护后如何应对?
- 华为云针对CentOS EOL有没有迁移方案?
- 如何安装mlnx驱动?
- 如何开启HCE操作系统的SELinux功能?
- 迁移系统后,如何更改控制台操作系统名称?
- Huawei Cloud EulerOS、openEuler和EulerOS镜像的主要区别是什么?
- 如何打开内核wireguard模块以及安装wireguard-tools?
- 如何将docker工具的用户凭证保存方式配置成与社区一致?
- OOM相关参数配置与原因排查
- IPVS报错问题说明
- 中文环境执行sulogin命令终端显示乱码说明
- ECS开启IPv6后,HCE系统内无法获取到IPv6地址
- 如何设置自动注销时间TMOUT?
- 最佳实践
- 文档下载
- 通用参考
本文导读
展开导读
链接复制成功!
安全启动
安全启动
通过安全启动(SecureBoot)可以保证系统启动过程中各个部件的完整性,防止没有经过合法签名的部件被加载运行,从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。HCE 2.0支持安全启动。
- 查看是否开启SecureBoot
HCE启动成功后,可以使用下面命令判断SecureBoot是否启用。
mokutil --sb-state SecureBoot enabled #SecureBoot已启用
- 启用kernel ko签名校验
安全启动通过校验签名来实现。HCE 2.0的内核默认未编译强制启用签名校验,需要通过kernel的启动参数module.sig_enforce进行控制。
启用ko签名校验:修改/boot/efi/EFI/hce/grub.cfg文件,增加启动参数module.sig_enforce=1。
Kernel参数
值
说明
module.sig_enforce
0
关闭内核对ko模块的校验,重启生效。
1
开启内核对ko模块的校验,重启生效。
- HCE 2.0签名公钥证书
HCE 2.0 KEK证书和HCE 2.0 UEFI签名证书详见https://repo.huaweicloud.com/hce/2.0/updates/x86_64/Packages/路径下的hce-sign-certificate-1.0-1.hce2.x86_64.rpm。
父主题: 安全