linux内核签名认证机制,centos内核编译与其签名机制

最新推荐文章于 2024-05-17 20:38:02 发布
最新推荐文章于 2024-05-17 20:38:02 发布
阅读量1.2k 收藏 1
点赞数
文章标签: linux内核签名认证机制

centos内核编译与其签名机制

linux内核3.7引入的签名机制,极大地方便了对内核模块的安全认证,同时也为操作系统厂家提供了IP保护的技术手段。不过,凡事有利也有弊。对刚刚接触具有签名机制的内核的工程师而言,需要一段理解并适应新内核的过程。为此,小编结合自己的工作经历,总结了一些要点和大家一起分享

1.什么是内核签名机制?

内核签名就是内核利用公钥对驱动模块校验的过程,对检验通过的模块,准许加载,而对没有签名的内核驱动模块或者签名没有通过检验的模块,根据不同的内核选项,禁止或者允许加载。

2.如何使用内核签名?

内核签名可以使用的场合包括但不限定于:

1.和某个内核或者操作系统厂商紧密捆绑的驱动模块,包括仅仅限定于特定版本内核的内核驱动模块;

2.受限或者受控的驱动模块,包括在操作系统或者内核无法改变的情况下,只能在知道公钥和私钥的情况下生成可被加载的驱动模块。

3.签名校验可能带来哪些不便?

在使用了签名校验的操作系统上进行内核的重新编译和模块的二次开发时,如果不知道先前的私钥和公钥生成算法的话,就无法直接加载新编译出的内核二进制或者驱动模块。

4.如何规避可能的影响?

禁止内核签名检验,并重新生成对应的initramfs,修改boot

memu,重新引导系统从自己新加的boot

entry启动。

5.实战举例

下面以centos

7 (based on linux kernel 3.10)为例,介绍具体的操作步骤:

最低0.47元/天 解锁文章
龐先生
关注
Linux内核模块签名与版本检查机制
thinker
02-27 718
Linux内核模块签名Linux内核版本检查机制
内核编译模块验证失败和手动模块签名
linux-0.11调试教程
02-08 4494
cd scripts/ sudo perl sign-file sha512 ../signing_key.priv ../signing_key.x509 ../libahci.ko 四个参数,第一个是sha512 第二个第三个都在/usr/src/linux-3.18.4/下 每次编译都要签名,所以只编译bzImage然后cp替换/boot目录下的vmlinu
Linux 内核签名签名内核模块)、linux 驱动签名
西京刀客
06-10 4090
一、Linux 内核签名 1. 什么是linux 内核签名 内核模块加载时使用加密签名验证,校验签名是否与已编译内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块内核会检查模块签名, 如果签名不存在或者签名内容不一致,会强
linux内核模块签名,linux内核模块签名
weixin_29982199的博客
04-30 1940
linux内核模块签名内核模块模块加载时使用加密签名验证,校验签名是否与已编译内核公钥匹配。目前只支持RSA X.509验证。签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。公钥生成内核编译时可以指定一系列的公钥。x509.genkey文件用来生成X509密钥。如果没有该文件,系统会自动提供一个默认的配置。Makefile会根...
linux 内核签名
qq_40227064的博客
04-28 3994
linux 驱动签名linux内核驱动安全机制
linux内核签名认证机制,Linux内核模块在安全启动模式下的签名和安装
weixin_36227100的博客
04-29 1211
在安全启动模式下,是不能加载未签名或由未注册的密钥签名内核模块的,所以本文介绍了如何签名内核模块,并安装到Linux内核中。本文参考了itpropmn07的回答的第一步和第二步。以RTL8821CE驱动为例,在得到8821ce.ko后,按照下面的命令生成私钥和公钥。wifi.key是私钥文件的名称,wifi.der是公钥文件的名称,wifi drivers是证书一般名称(CN)。openssl ...
内核签名
chuxuezhe_158的博客
09-07 1951
1)对于我们自己写的驱动程序,dmesg中有类似于: itx3010_J45: module verification failed: signature and/or required key missing - tainting kernel (我们写的驱动) 是因为3.7以后的内核添加内核签名机制, 当CONFIG_MODULE_SIG_FORCE=y时,内核将只加载带有公钥的合法签名模...
Linux下一种ELF文件的代码签名验证机制
03-04
当入侵者在系统取得一定权限后,他们通常会在系统中植入恶意代码,并利用这些代码为日后的入 侵提供方便。增加或修改 ELF 文件正是入侵者植入恶意代码的常用途径。本文将描述一种 Linux 下 ELF 文件的代码签名及验证机制的设计与实现,这种机制能有效防止基于 ELF 文件的恶意代码的入侵,并同时提供了灵活的分级验证机制,使系统在安全性与效率方面取得最佳平衡。
Centos编译Linux内核的具体实现方法
09-15
### Centos编译Linux内核的具体实现方法 在深入探讨Centos环境下如何编译Linux内核之前,先简要介绍Linux内核及其重要性。Linux内核Linux操作系统的中心部分,它负责管理和调度硬件资源,提供底层硬件访问、...
Centos7内核升级到5.4.13版本自动化脚本
09-11
Linux系统管理中,内核升级是一项重要的任务,特别是在安全性和性能优化方面。本文将详细介绍如何在CentOS 7上自动升级内核至5.4.13版本,基于提供的资源,即`update_kernel.sh`脚本和`kernel`目录。 首先,...
insmod安装内核module,提示Required key not available
热门推荐
hui872370036的专栏
04-10 1万+
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核
关于kernel module签名
自定义安装golang
10-17 1615
在实际应用中,为了安全,一般会使用将发布的ko进行签名,特别是像android这样的系统。例如:在android系统中,kernel在bootimage中,如果编译的ko文件在vednor或其他分区,并且打开了模块签名与校验配置,那么在调试的时候就需要同时编译ko与bootimage,否则外部的ko将安装失败。 关于kernel module签名可以参考:https://github.com/torvalds/linux/blob/master/Documentation/admin-guide/modu
Linux内核签名签名内核模块)、linux 驱动签名、安装特定版本的 kernel-devel
bandaoyu的note
08-31 1152
https://blog.csdn.net/inthat/article/details/117778263
内核签名机制
makeyourprogress的博客
06-30 659
Signed kernel module support From Gentoo Wiki Jump to: navigation, search Since Linux kernel version 3.7 onwards, support has been added for signed kernel modules. When enabled, the linux ker
linux secure boot(安全启动)下为内核模块签名
dzqxwzoe的博客
02-27 1172
Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块签名了,
linux 内核内核签名_什么是Linux内核,它做什么?
cumai3211的博客
10-06 625
linux 内核内核签名 With over 13 million lines of code, the Linux kernel is one of the largest open source projects in the world, but what is a kernel and what is it used for? Linux内核拥有超过1300万行代码,是世界上最大的开源项目...
模块签名
xishuang_gongzi的专栏
05-25 1975
一、前言 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块内核会检查模块签名,如果签名不存在或者签名内容不一致,会强制退出模块的加载。所以为模块签名就尤为重要。如果是内核选项CONFIG_MODULE_SIG_ALL打开,内核编译模块时会自动为模块签名。否则就要自己对模块签名
linux: gpg签名与验签详解
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
05-17 660
GPG签名是通过使用发送者的私钥对数据进行加密,生成一个唯一的数字签名。接收者可以使用发送者的公钥验证签名,以确保数据的完整性和发送者的身份真实性。通过本文的介绍,我们详细解释了GPG签名和验签的基本概念、操作步骤及其背后的原理,并提供了具体的命令和代码示例。同时,本文还介绍了在使用GPG进行操作时的调试方法,以帮助用户排查和解决可能出现的问题。通过理解和应用这些知识,我们可以更好地使用GPG来确保数据的安全性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值