安全启动

安全启动

通过安全启动（SecureBoot）可以保证系统启动过程中各个部件的完整性，防止没有经过合法签名的部件被加载运行，从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。HCE支持安全启动。

• 查看是否开启SecureBoot

  HCE启动成功后，可以使用下面命令判断SecureBoot是否启用。

  mokutil --sb-state
  SecureBoot enabled   #SecureBoot已启用

• 启用kernel ko签名校验

  安全启动通过校验签名来实现。HCE的内核默认未编译强制启用签名校验，需要通过kernel的启动参数module.sig_enforce进行控制。

  启用ko签名校验：

  • 对于EFI启动的机器：修改/boot/efi/EFI/hce/grub.cfg文件，增加启动参数module.sig_enforce=1。
  • 对于BIOS启动的机器：修改/boot/grub2/grub.cfg文件，增加启动参数module.sig_enforce=1。
  图1 启用ko签名校验
  

  Kernel参数	值	说明
  module.sig_enforce	0	关闭内核对ko模块的校验，重启生效。
  	1	开启内核对ko模块的校验，重启生效。

• HCE 2.0签名公钥证书

  https://repo.huaweicloud.com/hce/2.0/updates/x86_64/Packages/路径下的hce-sign-certificate-1.0-2.hce2.x86_64.rpm。

• BIOS证书导入参考：

  鲲鹏服务器：https://support.huawei.com/enterprise/zh/doc/EDOC1100088653/97a0d5a0

  2288H V5：https://support.huawei.com/enterprise/zh/doc/EDOC1000163371/afc5c7f8?idPath=23710424|251364409|21782478|21872244

  2288H V6：https://support.huawei.com/enterprise/zh/doc/EDOC1100195299/fdb56216?idPath=23710424|251364409|21782478|23692812

在服务器安装了2025年3月份之前的HCE2.0版本并开启安全启动的情况下，如果打算升级到2025年5月份之后的HCE2.0版本或者单独升级shim，grub，kernel包，可能存在升级重启后，系统无法引导启动的问题。在升级OS前，可参考【常见问题】中的如何解决证书切换导致的安全启动失败问题章节中的【排查方法】提前进行排查。如果已经升级OS，并发生无法引导启动的问题，可参考【常见问题】中如何解决证书切换导致的安全启动失败问题章节中的【解决方案】进行解决。