openEuler 社区签名体系建立

最新推荐文章于 2024-07-26 14:53:47 发布
最新推荐文章于 2024-07-26 14:53:47 发布
阅读量457 收藏 9
点赞数 21
文章标签: openEuler 操作系统 开源 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/openeuler_/article/details/140632017
版权

近年来,网络安全形势日益严峻,各种攻击手段层出不穷。软件的构建、发布、安装、运行等环节都面临着安全威胁。对以开源软件为主的 openEuler 操作系统来说,软件组件的完整性保护至关重要。通过在社区建立以 PKI (Public Key Infrastructure,公钥基础设施)为基础的软件发布签名体系,结合从系统启动到运行的端到端完整性保护技术,可以有效防护各个环节的攻击,从而提升系统安全性。

安全启动(Secure Boot)是利用公私钥对启动部件进行签名和验证。在启动过程中,前一个部件验证后一个部件的数字签名,如果能验证通过,则运行后一个部件;如果验证不通过,则停止启动。通过安全启动可以保证系统启动过程中各个部件的完整性,防止没有经过认证的部件被加载运行,从而防止对系统及用户数据产生安全威胁。

openEuler 在支持安全启动的基础上,还通过支持内核模块签名、IMA 文件完整性保护等机制,将基于数字签名的保护链路进一步延伸至内核模块和应用程序文件(广义安全启动),整个验证过程可包含如下四个部分:

  • 启动阶段:BIOS->shim->grub->内核(EFI 加载前进行签名校验);

  • 运行阶段(模块加载):内核->内核模块(模块插入时进行签名校验);

  • 运行阶段(文件访问):内核->文件(应用程序执行或普通文件访问时进行签名校验);

  • 运行阶段(软件包安装):包管理组件->RPM 软件包(软件包安装时进行签名校验)。

为支持“开箱即用”的安全启动能力,核心是在 openEuler 社区建立以 PKI 为基础的软件构建签名体系。在软件构建阶段,自动为目标文件添加数字签名,并在关键组件中预置公钥证书,从而在用户安装 openEuler 镜像后,可以直接开启相关的签名校验机制,提升系统安全性。

整体方案介绍

自 openEuler 24.03 LTS 版本开始,openEuler 采用统一的签名平台进行签名证书和密钥的管理以及签名生成,并对接 EulerMaker 构建平台,实现交付件的自动签名:

图片

  1. openEuler 签名平台生成并管理签名公私钥和证书,同时通过 Signatrust 提供签名服务;

  2. EulerMaker 构建系统在执行软件包构建阶段,通过spec脚本调用 Signatrust 签名接口为目标文件执行添加数字签名;

  3. 具备签名验证功能的组件(如 shim、kernel 等),在构建阶段预置相应的验签证书;

  4. 用户安装 openEuler 镜像后,开启安全启动、内核模块校验、IMA、RPM 校验等按机制,在系统启动和运行阶段使能相应的签名验证功能,保障系统组件的真实性和完整性。

证书及签名介绍

openEuler 24.03 LTS 证书包含 x509 和 openPGP 两种体系,其中 x509 体系采用三级证书的形式进行管理(根证书、中间证书、签名证书): 

图片

各证书作用分别如下:

证书类型说明
openEuler CA证书x509一级证书openEuler社区根证书,用于签发及校验二级证书
安全启动ICA证书x509二级证书安全启动二级证书,用于签发及校验安全启动签名证书
内核ICA证书x509二级证书预置在openEuler内核中的根证书,用于签发及校验内核签名证书
IMA摘要列表EE证书x509三级证书对RPM包中提供的IMA摘要列表文件进行签名和校验
内核模块EE证书x509三级证书对kernel中的内核模块文件进行签名和校验
openEuler RPM证书openPGP证书对openEuler发布的RPM软件包进行签名和校验

注意:

  • EFI文件(shim/grub/kernel 等)的签名信息包含二、三级证书,可以使用 openEuler CA证书进行签名验证;

  • IMA 摘要列表和内核模块的签名信息包含三级证书,可以使用内核 ICA 证书进行签名验证。

openEuler 24.03 LTS 版本已默认集成如下签名:

文件类型文件格式签名格式
EFI文件EFI Imageauthenticode
内核模块文件Kernel ModuleCMS
IMA摘要列表文件BinaryCMS
RPM软件包文件RPM PackageopenPGP

用户可开启对应的安全机制,如安全启动、内核模块校验、IMA 等,开启后可使能签名校验功能。

三方安全启动签名

openEuler 社区与 CFCA(中国金融认证中心)进行合作,在 openEuler 24.03 LTS 版本中提供基于 CFCA 签名的 shim 组件,在预置 CFCA 安全启动证书的服务器可实现安全启动。

加入我们

sig-security_facility 主要讨论在 openEuler 社区版本中已有或未来规划的安全技术:

  • 在openEuler 社区版本中使能主流的 Linux 安全特性,提供系统安全工具、库、基础设施等,提升系统的安全性。

  • 改善现有安全技术的应用体验,帮助安全创造实际的价值。

如果您对相关技术感兴趣,欢迎您的参与和加入。您可以添加小助手vx:openeuler123,加入安全技术交流群。

参考资料

[1] signatrust签名服务开源项目:https://gitee.com/openeuler/signatrust

[2] openEuler 社区证书中心:https://www.openeuler.org/zh/security/certificate-center/

[3] openEuler 签名资料:https://gitee.com/openeuler/docs/tree/master/docs/zh/docs/CertSignature

openEuler社区
关注
  • 21
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
openEuler本地构建RPM包实战(一)——基础知识
那些比你走的远的人,并非就比你聪明,只是每天多走了一点
04-05 745
rpm包是 Red Hat Package Manager的缩写,它是一种软件包管理工具,主要用于Linux操作系统中管理和分发软件包。 RPM包包含了一个软件的所有相关组件,如可执行的二进制文件(binaries)、库文件(libraries)、配置文件以及其他必要的支持文件。这些组件通常被打包到一个预编译的二进制文件中,使得软件的安装过程变得简单化和自动化。
OpenEuler系统内核版本4.19
09-12
OpenEuler系统内核版本4.19是基于Linux内核的一个特定版本,它是由中国的开源操作系统项目OpenEuler开发并维护的。OpenEuler旨在为数据中心、云计算、边缘计算等场景提供一个安全、可靠、高性能的操作系统平台。内核...
四大升级!助力首个 AI 原生开源操作系统 openEuler 24.03 LTS 正式发布
AI科技大本营
06-06 1214
openEuler 社区通过汇聚产业的创新力量,集合众多开发者的智慧,实现了 openEuler 24.03 LTS 版本四大技术升级,成为首个 AI 原生的开源操作系统
Rancher RFO 正式 GA
Rancher
12-26 816
RFO 是 Rancher For openEuler 的缩写,旨在面向 openEuler 打造 Rancher 基础平台。其中最核心的工作是打造一款面向 openEuler 生态的 Kubernetes 发行版。近日,Rancher RFO 正式 GA ,欢迎试用并在 Rancher 社区和欧拉开源社区进行反馈。目前有以下已测试的版本可供使用:v1.23.14+rfor1/v1.24.8+rfor1/v1.25.4+rfor1 ,后续我们也会长期跟踪 Kubernetes 的上游版本演进。
编程语言-3-谷歌AAB以及华为HarmonyOS和openEuler和四款芯片
qq_20466211的博客
07-06 622
参考华为轻量级操作系统 LiteOS 1 谷歌dev blog原文 谷歌dev blog原文: Android App Bundle: Google Play uses the app bundle to generate and optimize APKs for distribution for different device configurations and languages. This makes your app smaller (on average, 15% smaller than
湖南欧拉生态创新中心——企业适配流程指引
weixin_49546901的博客
11-10 602
湖南欧拉生态创新中心集合产、学、研、用力量,进行技术联创、适配迁移、产业拓展、行业创新等工作,通过生态构建、技术评测、产业聚集、技术创新、人才培养和行业创新六大服务平台体系,推进欧拉技术路线在湖南区域落地,助力湖南数字基础设施底座的建设进程,打造中部地区欧拉生态创新发展集聚高地。申请测评企业产品类型,选择待测评的产品和解决方案,并填写产品相关信息,测试机构选择湖南欧拉生态创新中心,提交测评申请。完成CLA签署后,测评企业需完善企业信息,需提交企业LOGO、工商注册国家/地区、企业邮箱、营业执照等信息。
华为鲲鹏题库(一)
热门推荐
weixin_45285484的博客
05-16 5万+
华为鲲鹏 1、TaiShan2280服务器最多支持多少个PCIe扩展槽位()[单选题]——[单选题] A 4 B 2 C 6 D 8 正确答案:D 2、下列哪个语言编写的程序不需要基于ARM重新编译即可在鲲鹏中运行()[单选题]——[单选题] A C B C++ C 汇编 D Java 正确答案:D 3、以下哪个不是华为云鲲鹏生态帮助伙伴/开发者商业变现的方式()[单选题]——[单选题] A 华为鲲鹏云专业服务:客户业务系统一站式搬迁服务 B 华为鲲鹏严选馆:鲲鹏应用,优先推荐,快速商业变现 C 华为提供鲲
Linux系统升级及内核版本升级
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-23 3万+
一、背景 工作中有时会遇到系统版本过旧,无法满足安全扫描后的安全要求,系统漏洞数量多,处理难度较大,这时,我们就需要升级OS或Linux内核版本; 二、升级操作 2.1、 redhat/CentOS系统 三、附录:包升级命令 1)配置yum更新源 /etc/yum.repos.d目录下新建主机的yum源,.repos文件中,repositoryid:指定一个仓库,name指定仓库名称, baseurl:指定仓库的URL,mirrorlist指定仓库的镜像站点,enable是否启用本仓库,gpgcheck
47 岁从华为退休,操作系统老兵转战 OpenHarmony 生态 | 近匠
《程序员》官方BLOG
12-14 1万+
此外,要想解决安全性问题,就需要保证应用安全,OpenHarmony 有一套签名机制,必须从正规的应用市场做相应的签名,才能在相关设备上安装运行,这样就保证了整体的安全。我的理念很简单,就是源于开源、回馈开源。为此,基于开源、云、AIoT、根技术、数字化转型、前沿技术等领域,如果您及团队有报道需求,亦或者如果您有对技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿,联系方式:微信(hanbb120,请备注投稿+姓名+公司职位)、邮箱(tumin@csdn.net)。
使用MindStudio的HPO界面工具进行调优
Deleter357的博客
12-14 2685
本图文案例通过使用MindStudio中HPO超参数优化界面工具进行调优,详细展示了使用该功能所需的前置条件、使用流程以及经验总结,内容包括MindStudio的基本介绍、安装方案及流程、超参数优化的基本介绍及前期准备工作、超参数优化的详细配置及结果获取流程、使用过程中的经验总结等。
linux openEuler aarch64架构libreoffice安装包,支持中文字体
06-25
附件为linux openEuler aarch64架构libreoffice7安装包,支持中文。此版本libreoffice在openEuler aarch64架构的服务器上成功安装,完美兼容。配合对应的中文字体,能够解决转换过程中的中文乱码问题。 文档转换命令...
openEuler22.03 librdkafka-1.2.2
02-26
解决openEuler22版本librdkafka依赖版本过低问题
HCIA-openEuler V1.0视频.zip
05-03
1.2 openEuler安装 .zip 1.3 openEuler入门级操作 .zip 2.1 Linux命令行基础 .zip 2.2 目录操作、文件操作和查看操作 .zip 2.3 分页查看操作和查找操作 .zip 2.4 压缩和打包操作 .zip 3.1 常见文本编辑器 .zip 3.2 ...
HCIA-openEuler V1.0 培训教材.zip
12-26
5. **开源社区与生态**:介绍openEuler开源社区机制,参与方式,以及如何贡献代码,促进社区发展。 **学习目标** 通过HCIA-openEuler V1.0 的培训,学员将能够: - 熟练掌握openEuler操作系统的安装、配置和管理...
HarmonyOS应用开发者高级认证,Next版本发布后最新题库 - 多选题序号4
Gusha_的博客
07-23 1286
HarmonyOS应用开发者高级认证最新题库,编写于2024年7月19日,Next版本发布之后
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 214
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
基于宝塔的 Bytebase 可视化安装、配置、部署教程
最新发布
Bytebase的博客
07-26 328
Bytebase是一款使用Go语言开发的开源数据库管理软件,旨在为DBA(数据库管理员)、开发人员和平台工程师提供一个基于Web的协作工作区,用于管理数据库的整个生命周期。本文将介绍如何在宝塔面板上可视化安装、部署、配置Bytebase教程。
Linux:进程信号(一.认识信号、信号的产生及深层理解、Term与Core)
qq_74415153的博客
07-23 1498
1.认识信号 进程看待信号方式 2.信号的产生 2.1信号的处理的方式 --- signal()函数 2.2kil指令产生信号 2.3键盘产生信号 2.4系统调用发送信号 -kil系统调 用、raise()和abort()库函数 2.5软件条件产生信号 2.6异常产生信号 3.信号产生的深层理解 键盘产生信号 异常产生信号 4.Term与Core core文件
openeuler社区下载linux源码
05-22
您可以从openEuler社区的官方网站(https://openeuler.org/zh/)上下载openEulerLinux源代码。具体步骤如下: 1. 访问openEuler社区的官方网站,并点击页面上方的“下载”按钮。 2. 在下载页面中,选择适合您的硬件架构的openEuler版本。例如,如果您的计算机是基于x86-64架构的,则可以选择“openEuler 20.03 LTS Server x86_64源码”版本。 3. 点击所选版本的下载按钮,即可开始下载openEulerLinux源代码。 请注意,下载源代码的过程可能需要一些时间,具体取决于您的网络速度和源代码文件的大小。下载完成后,您可以按照openEuler社区提供的文档和指南进行安装和配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

openEuler社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值