文章目录
一、Linux 内核签名
1. 什么是linux 内核签名
内核对于可信计算支持的越来越完善,linux发行版在这个基础上也逐渐默认使能一些它的安全功能,其中一项就是内核module签名。
内核在模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。
签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。
linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块时内核会检查模块的签名, 如果签名不存在或者签名内容不一致,会强制退出模块的加载。
内核在模块模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。
2. 公钥生成
内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配置。Makefile会根据x509.genkey规则在内核编译根目录生成默认配置,用户可以手动更改该文件。
由此在内核编译过程中分别生成私钥和公钥文件分别为./signing_key.priv和./signing_key.x509。
默认配置是使用/dev/random生成的。如果/dev/random没有足够数据,在后台运行以下命令可以生成更多的数据:rngd -r /dev/urandom。
3. 模块签名
设置了CONFIG_MODULE_SIG_ALL,所有模块将会自动添加签名。如果没有设置,需要手动添加:
scripts/sign-file $(MODSECKEY) $(MODPUBKEY) modules.ko
哈希算法必须为sha1, sha224, sha256, sha384, sha512。对应的加密算法必须是使能的。CONFIG_MODULE_SIG_HASH
- MODSECKEY=
- 加密私钥文件,默认是./signing_key.priv
- MODPUBKEY=
- 加密公钥文件,默认为./signing_key.x509
- module.ko是需要签名的模块。
4. 如何判断是否开始内核签名
去boot目录下查看config文件
cd /boot/
[root@centOS8 boot