Linux内核签名及校验机制全攻略

最新推荐文章于 2025-03-16 08:46:30 发布

内核程序员kevin

最新推荐文章于 2025-03-16 08:46:30 发布

阅读量1.7k

点赞数 17

分类专栏： Linux内核文章标签： linux 数字签名 Linux内核 grub 签名安全

本文链接：https://blog.csdn.net/weixin_47763623/article/details/143890992

版权

Linux内核专栏收录该内容

27 篇文章

订阅专栏

Linux内核签名及校验机制全攻略

1. 引言

1.1 为什么要进行内核和内核模块的签名？

在现代Linux系统中，内核和内核模块是系统运行的核心组件。未经验证的内核或模块可能成为恶意软件注入的入口，导致系统被入侵、数据泄露或功能失效。因此，对内核和内核模块进行签名是一项重要的安全措施，能够显著提高系统的安全性和完整性。签名机制的主要作用包括：

验证来源可信性：确保加载的内核和模块来自受信任的开发人员或供应商，防止加载伪造或恶意模块。
防篡改保护：内核和模块的签名机制可以防止未经授权的修改，提供一种检测和防御机制，以确保系统的完整性和稳定性。
合规要求：对于某些行业和企业，系统安全性需要符合特定的合规标准（如金融、政府机构等），签名机制提供了一种符合性验证的手段。

1.1.1 实际应用场景

嵌入式设备：例如物联网设备，常常暴露在开放环境中，容易受到攻击。内核签名可以防止恶意固件更新和未经授权的模块加载。
服务器系统：在云服务环境中，内核模块签名机制可以避免恶意模块被动态加载到内核中，从而提高整体系统的安全性。
企业级操作系统：许多企业需要对其系统组件实施严格的访问和更改控制，内核签名提供了可信的控制机制。

1.2 内核签名的基本原理

内核签名和内核模块签名主要依赖公钥/私钥对的加密机制。简单来说，开发人员使用私钥对内核或模块生成签名，系统在加载时会使用公钥进行验证。如果签名与公钥匹配，表明模块或内核没有被篡改，验证成功；否则，验证失败并拒绝加载。

1.2.1 工作流程

生成密钥对：首先，使用工具生成公钥和私钥对。私钥用于对内核或模块进行签名，而公钥则用于在系统中进行验证。
签名操作：在编译内核或内核模块时，可以选择使用私钥对目标文件进行数字签名。通常情况下，模块的签名可以在内核构建过程中自动完成，也可以使用手动方式进行签名。
内核验证：系统启动时或者在运行时加载模块时，内核会使用公钥对签名进行验证。如果验证成功，内核会正常加载模块或镜像；否则，将拒绝加载，并在日志中记录相应的错误信息。

2. 内核镜像签名详解

2.1 什么是内核镜像签名？

内核镜像签名是对内核镜像文件（如vmlinuz）进行数字签名的过程。通过数字签名，系统可以验证内核镜像在启动时的完整性和可信性，从而防止未授权的修改。内核镜像签名通常在可信启动（Trusted Boot） 或 安全启动（Secure Boot） 环境中使用，以保护系统免受恶意代码篡改或加载未经授权的内核镜像。

2.2 内核镜像签名的作用与工作原理

作用

完整性保障：确保加载的内核镜像未被篡改，且源自受信任的发布者。
提升系统安全性：有效防止加载恶意或被篡改的内核镜像，从而避免潜在的安全风险。
与安全启动配合：在启用UEFI的Secure Boot时，内核镜像签名至关重要，系统通过签名校验确保加载的内核符合安全策略要求。

工作原理

生成签名：内核开发者或系统管理员通过数字签名工具使用私钥为内核镜像生成签名。
附加签名：生成的签名被附加到内核镜像文件中，通常在构建过程或发布阶段完成。
验证签名：引导加载器（如GRUB）在启动时使用公钥对镜像签名进行验证。如果签名验证失败，启动过程将被终止，以防止加载不受信任的内核。

2.3 如何为内核镜像签名

2.3.1 生成密钥对

首先，您需要生成一对公钥和私钥。私钥用于签署内核镜像，而公钥用于验证签名的合法性。可以使用openssl生成密钥对：

# 生成私钥
openssl genrsa -out signing_key.pem 2048

# 生成自签名证书（有效期365天）
openssl req -new -x509 -key signing_key.pem -out signing_cert.pem -days 365

生成的signing_key.pem是私钥文件，signing_cert.pem是公钥证书文件。

2.3.2 使用私钥签名内核

签名过程分为不同架构的操作。这里分别介绍在x86_64和ARM架构下签名内核镜像的步骤。

在 x86_64 架构上：

使用pesign工具签名内核镜像：
```
pesign --certificate 'Custom Secure Boot key' \
       --in vmlinux-version \
       --sign \
       --out vmlinux-version.signed
```
- vmlinux-version是您构建的内核镜像文件名。
- 'Custom Secure Boot key'是您选择的用于签名的证书或密钥。

可选：检查签名是否成功：

pesign --show-signature --in vmlinux-version.signed

使用签名后的镜像替换原始的未签名镜像：
```
mv vmlinux-version.signed vmlinux-version
```

在 64 位 ARM 架构上：

解压vmlinuz文件：
```
zcat vmlinuz-version > vmlinux-version
```

使用pesign工具签名vmlinux镜像：

pesign --certificate 'Custom Secure Boot key' \
       --in vmlinux-version \
       --sign \
       --out vmlinux-version.signed

可选：检查签名是否成功：

pesign --show-signature --in vmlinux-version.signed

压缩签名后的镜像为vmlinuz格式：

gzip --to-stdout vmlinux-version.signed > vmlinuz-version

删除未压缩的vmlinux文件：
```
rm vmlinux-version*
```

2.4 配置GRUB以验证内核签名

GRUB引导加载器可以通过数字签名验证加载的内核镜像和其他相关文件的合法性。在启用此功能时，GRUB会确保只有经过有效签名的文件才能被加载，这样可以有效防止篡改或恶意注入的内核镜像被执行。下面是配置GRUB以进行签名验证的步骤。

2.4.1 启用签名验证功能

GRUB可以通过设置环境变量check_signatures来强制所有加载的文件都必须经过签名验证。如果此变量被设置为enforce，GRUB会在加载任何文件（如内核镜像、配置文件等）之前，自动检查该文件的签名。具体过程如下：

编辑GRUB配置文件
在grub.cfg文件中，您可以设置check_signatures环境变量，以启用签名验证。例如：
```
set check_signatures=enforce
```
这将确保GRUB验证加载的所有文件（包括内核镜像和其他模块）是否具有有效的签名。
生成和嵌入公钥
GRUB使用GPG样式的分离签名（detached signatures）进行文件签名。要验证文件签名，GRUB需要访问公钥。您可以使用grub-install命令将公钥嵌入到GRUB的core.img文件中：
```
grub-install --pubkey /path/to/signing_cert.pem
```
这样，GRUB在启动时就会信任指定的公钥。

2.4.2 对内核和其他文件进行签名

为了确保启动过程中的所有文件都能被验证，您需要对内核镜像及其他相关文件（如initrd、grubenv等）进行签名。GRUB支持使用GPG来生成签名，具体步骤如下：

生成GPG密钥对
首先，您需要生成一个GPG密钥对用于签署文件：
```
gpg --gen-key
```
签署文件
对于每个需要验证的文件，使用GPG进行签名。以内核镜像为例，签名命令如下：
```
gpg --detach-sign /path/to/vmlinuz-version
```
这会生成一个名为vmlinuz-version.sig的签名文件。

签署所有相关文件
使用类似的方法签署其他文件，如grub.cfg、initrd等：

for i in `find /boot -name "*.cfg" -or -name "*.lst" -or \
  -name "*.mod" -or -name "vmlinuz*" -or -name "initrd*" -or \
  -name "grubenv"`; do
    gpg --batch --detach-sign --passphrase-fd 0 $i < /dev/shm/passphrase.txt
done
shred /dev/shm/passphrase.txt

上面的命令会批量签署所有相关的文件，并确保每个文件都有一个对应的签名文件（.sig）。

2.4.3 配置GRUB验证文件签名

在GRUB中启用签名验证后，它会自动检查所有被加载的文件的签名。如果签名无效或缺失，GRUB会阻止该文件的加载，从而防止不可信的文件被执行。

签名验证
GRUB会在加载内核镜像或其他文件时，检查每个文件是否具有有效的签名。如果文件的签名与预期不匹配，或者签名文件缺失，GRUB会报错并终止加载过程。
环境变量控制
GRUB的签名验证是通过check_signatures环境变量来控制的。该变量的默认值是no，表示不强制验证签名。通过设置check_signatures=enforce，可以强制GRUB验证所有文件的签名。

2.4.4 防止禁用签名验证

虽然GRUB提供了签名验证功能，但它并不能完全防止攻击者在具有物理访问权限的情况下绕过验证。为了防止攻击者禁用签名验证，您可以配置GRUB的密码保护功能。

启用GRUB密码保护
为了防止攻击者修改GRUB的配置或禁用签名验证，您可以为GRUB设置密码。这样，在启动时需要输入密码才能访问GRUB命令行或更改启动选项。

编辑GRUB配置文件并设置密码：
```
set superusers="root"
password_pbkdf2 root [hashed-password]
```
保护GRUB命令行
您还可以配置GRUB以禁止未经授权的用户访问命令行，防止他们更改启动参数或禁用签名验证。
```
set password_required=true
```

2.4.5 测试签名验证

完成上述配置后，您可以重新启动系统，验证GRUB是否按照预期对内核镜像进行签名验证。如果内核镜像的签名无效，GRUB将拒绝加载该镜像并停止启动过程。

2.5 小结

通过启用GRUB的签名验证功能，并对内核和相关文件进行签名，您可以确保在启动时只加载受信任的文件，从而增强系统的安全性。此功能对于防止恶意软件和篡改至关重要，尤其是在启用了Secure Boot的情况下，能够确保整个启动链条的完整性。

3. 内核模块签名机制

3.1 内核模块签名的概念与功能

内核模块签名是一种增强内核模块安全性的机制，通过在模块上附加数字签名，可以确保加载的模块未被篡改，并由可信任的来源提供。加载未经验证的模块可能存在较大的安全风险，比如引入恶意代码，因此模块签名机制显得尤为重要。内核模块签名由内核在加载模块时自行验证，无需用户空间的干预，从而提高了安全性。

内核模块签名的功能：

确保模块完整性：签名验证可确保模块从分发到加载过程未被篡改。
模块来源验证：只允许加载由可信密钥签署的模块，防止未知或不受信任模块的运行。

3.2 内核模块签名的实现流程

3.2.1 启用内核模块签名功能

内核模块签名功能需要在内核配置阶段启用。可以在内核配置菜单中配置相关选项，通常在"可加载模块支持"（Enable Loadable Module Support）部分：

进入内核配置：
```
make menuconfig
```
配置选项：
- CONFIG_MODULE_SIG：启用模块签名验证。
- CONFIG_MODULE_SIG_FORCE（可选）：强制所有模块必须带有有效签名。未签名或签名无效的模块会被拒绝加载。
- CONFIG_MODULE_SIG_ALL（可选）：在make modules_install过程中，自动为所有模块进行签名。

3.2.2 生成签名密钥对

内核模块签名依赖于X.509证书。默认情况下，内核构建过程中会自动生成密钥对，但也可以自定义密钥和证书。

使用openssl生成密钥和证书：

openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 \
    -config certs/x509.genkey -out kernel_key.pem -keyout kernel_key.pem

生成的kernel_key.pem文件既包含公钥也包含私钥，默认路径为certs/signing_key.pem。可以通过CONFIG_MODULE_SIG_KEY配置指定自定义密钥文件路径。

 Location:	   
│     -> Cryptographic API (CRYPTO [=y])
│       -> Certificates for signature checking
│ (1)     -> File name or PKCS#11 URI of module signing key (MODULE_SIG_KEY [=certs/signing_key.pem])

3.2.3 使用 `sign-file` 工具对模块签名

sign-file是内核构建工具的一部分，位于scripts/目录下。该工具允许对单独的内核模块进行签名。

签署模块示例：
```
./scripts/sign-file sha256 signing_key.priv signing_key.x509 <模块路径>/<模块文件.ko>
```
- sha256指定使用的哈希算法。签名生成的签名会附加在模块文件末尾，并由内核在加载时验证。

3.2.4 查看公钥

验证模块签名的公钥内嵌在内核中，并存储在.system_keyring中，可以通过以下命令查看：

cat /proc/keys

3.3 内核模块签名校验机制

3.3.1 校验过程

加载模块时，内核会提取模块附带的签名。
使用内核内置的公钥验证签名的合法性和模块的完整性。
如果签名无效或模块未签名，且CONFIG_MODULE_SIG_FORCE已启用，则模块会被拒绝加载。

3.3.2 配置选项说明

CONFIG_MODULE_SIG：启用模块签名验证。
CONFIG_MODULE_SIG_FORCE：强制所有模块必须经过签名验证，否则拒绝加载。
CONFIG_SYSTEM_TRUSTED_KEYS：允许指定其他受信任的公钥文件，以便内核在加载模块时使用。

3.3.3 验证模块签名

内核在加载模块时会自动验证其数字签名。验证结果如下：

签名有效且与内核内嵌的公钥匹配时，模块会成功加载。
签名无效、模块未签名或使用不受信任的公钥时，内核会拒绝加载模块，并记录相关日志。使用dmesg查看日志详情：
```
dmesg | grep 'module signature'
```

3.4 小结

内核模块签名机制在模块加载过程中提供了强有力的安全保证。合理配置和使用模块签名机制可以显著提高系统的安全性，避免恶意模块的潜入和执行。请确保对签名密钥进行妥善管理，以避免密钥泄露或被滥用。

4. 常见问题与解决方案

内核模块和内核镜像的签名机制是确保系统安全的重要措施，但在实际使用中可能会遇到一些常见问题。本章节介绍这些问题及其可能的解决方法，并提供调试相关问题的建议。

4.1 签名失败的常见原因及处理方法

4.1.1 证书未找到

问题描述：内核加载模块或启动时无法找到与签名匹配的公钥，导致验证失败。
解决方法：
- 确保在内核中已嵌入正确的公钥。可以通过重新编译内核并指定包含受信任公钥的路径来解决此问题。
- 使用内核配置选项CONFIG_SYSTEM_TRUSTED_KEYS指定受信任的公钥文件路径。确保公钥文件与生成的签名匹配。

4.1.2 配置未启用

问题描述：内核模块签名功能未启用或相关选项配置错误，导致签名无法正常工作。
解决方法：
- 确认已在内核配置中启用了以下选项：
  - CONFIG_MODULE_SIG=y：启用模块签名功能。
  - CONFIG_MODULE_SIG_FORCE=y（可选）：强制要求所有加载的模块必须经过签名验证。
  - CONFIG_MODULE_SIG_ALL=y（可选）：在内核构建时自动对所有模块进行签名。
- 使用make menuconfig或手动修改内核配置文件，确保上述选项已正确启用。

4.1.3 签名和证书过期

问题描述：证书可能已经过期，导致签名验证失败。
解决方法：
- 使用新的证书和密钥对模块进行重新签名。
- 在生成证书时，设置更长的有效期。例如，可以通过-days选项在生成X.509证书时指定有效期：
```
openssl req -new -x509 -key module_key.priv -out module_key.x509 -days 3650
```

4.1.4 文件路径或权限问题

问题描述：私钥或证书文件的路径不正确或权限不足，可能导致签名或加载过程失败。
解决方法：
- 确认密钥和证书文件路径是否正确。
- 检查密钥和证书文件的权限，确保只有合适的用户和进程有权限访问私钥。
- 例如，调整权限为：
```
chmod 600 module_key.priv
```

4.2 如何调试签名和校验问题

4.2.1 使用 `dmesg` 查看内核日志

方法：在加载模块时，内核会输出相关的日志信息，可以使用dmesg命令查看并排查问题。例如：
```
dmesg | grep 'module signature'
```
常见信息：
- Module signature verification succeeded：表示签名验证通过。
- Module signature verification failed：表示验证失败，通常还会有附加的错误描述。