安全启动

安全启动

通过安全启动（SecureBoot）可以保证系统启动过程中各个部件的完整性，防止没有经过合法签名的部件被加载运行，从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。HCE OS 2.0支持安全启动。

• 查看是否开启SecureBoot

  HCE OS启动成功后，可以使用下面命令判断SecureBoot是否启用。

  mokutil --sb-state
  SecureBoot enabled   #SecureBoot已启用

• 启用kernel ko签名校验

  安全启动通过校验签名来实现。HCE OS 2.0的内核默认未编译强制启用签名校验，需要通过kernel的启动参数module.sig_enforce进行控制。

  启用ko签名校验：修改/boot/efi/EFI/hce/grub.cfg文件，增加启动参数module.sig_enforce=1。

  

  Kernel参数	值	说明
  module.sig_enforce	0	关闭内核对ko模块的校验，重启生效。
  	1	开启内核对ko模块的校验，重启生效。

• HCE OS 2.0签名公钥证书

  HCE OS 2.0 KEK证书和HCE 2.0 UEFI签名证书详见https://repo.huaweicloud.com/hce/2.0/updates/x86_64/Packages/路径下的hce-sign-certificate-1.0-1.hce2.x86_64.rpm。