凯发k8国际娱乐官网入口-k8凯发> huawei cloud euleros> 产品介绍> > 安全启动
更新时间:2023-12-15 gmt 08:00

安全启动-凯发k8国际娱乐官网入口

安全启动

通过安全启动(secureboot)可以保证系统启动过程中各个部件的完整性,防止没有经过合法签名的部件被加载运行,从而防止对系统及用户数据产生安全威胁并防御bootkit和rootkit攻击。hce os 2.0支持安全启动。

  • 查看是否开启secureboot

    hce os启动成功后,可以使用下面命令判断secureboot是否启用。

    mokutil --sb-state
secureboot enabled   #secureboot已启用
  • 启用kernel ko签名校验

    安全启动通过校验签名来实现。hce os 2.0的内核默认未编译强制启用签名校验,需要通过kernel的启动参数module.sig_enforce进行控制。

    启用ko签名校验:修改/boot/efi/efi/hce/grub.cfg文件,增加启动参数module.sig_enforce=1。

    kernel参数

    说明

    module.sig_enforce

    0

    关闭内核对ko模块的校验,重启生效。

    1

    开启内核对ko模块的校验,重启生效。
  • hce os 2.0签名公钥证书

    hce os 2.0 kek证书和hce 2.0 uefi签名证书详见https://repo.huaweicloud.com/hce/2.0/updates/x86_64/packages/路径下的hce-sign-certificate-1.0-1.hce2.x86_64.rpm。

父主题:
分享:
网站地图