你知道Linux 系统的安全启动吗

什么是安全启动

“安全启动” 是 2012 年出现的 Windows 8 预装电脑里的 UEFI 功能。目前所有的 Ubuntu 64位(非32位)版本支持此功能。简而言之，安全启动工作原理是在固件中启用信任源机制，虽然其它实现方式是可能的，但在实践中通过 x509 证书来实现信任链。根证书( 根证书是由受信任的证书颁发机构 CA 颁发的证书)嵌入在固件中，使得它可以验证签名的引导加载程序，然后，签名的引导加载程序可以验证已签名内核或已签名的第二级引导加载程序等。为了使用安全启动，我们需要使用UEFI启动系统，而不是旧的 BIOS。

有关安全启动的更多信息见 Ubuntu 维基(有关安全启动的更多内容见 Ubuntu 维基https://wiki.ubuntu.com/SecurityTeam/SecureBoot/)。

BIOS与UEFI有什么区别?

两者都可初始化计算机，任务是加载操作系统。BIOS 通过读取硬盘上的*一个扇区(主引导记录 MBR)并执行它来启动，相比之下，UEFI 通过从硬盘上的分区(称为 EFI 系统分区 ESP)加载EFI程序文件(使用 .efi 文件扩展名)来启动。(有关 BIOS 和 UEFI 之比较见超级用户文章：

https://superuser.com/questions/496026/what-is-the-difference-in-boot-with-bios-and-boot-with-uefi)

如何判断Linux系统是使用UEFI还是BIOS启动的?

较简单的方法是检查文件夹 /sys/firmware/efi 是否存在。

secureBoot:~$ ls /sys/firmware/efi/

config_table fw_platform_size runtime systab

efivars fw_vendor runtime-map vars

如果 Linux 计算机使用传统 BIOS 启动，则不会出现 /sys/firmware/efi 文件夹。

legacy:~$ ls /sys/firmware/efi

ls: cannot access /sys/firmware/efi: No such file or directory

如何判断Linux系统是否使用安全启动?

mokutil 命令用于管理机主密钥(MOK)，这些密钥由 shim 层用于验证 grub2和内核映像，也可用于验证安全启动是否启用。

secureBoot:~$ mokutil --sb-state

SecureBoot enabled

或者也可以使用 mokutil 命令来查看当前所有已注册的密钥。

secureBoot:~$ mokutil --list-enrolled

未签名模块的特征是什么?

如果在启用了安全启动的计算机上编译并安装了无有效签名的 Kvaser 驱动程序模块，即使连上了 Kvaser 分析仪，在运行 listChannels 示例的时候也不会侦测到任何通道。

secureBoot:~$ ./listChannels

Canlib version 5.20

Found 0 channel(s).

可以使用 lsusb 命令验证 Kvaser 分析仪实际上是由 USB 子系统连接和识别的。

secureBoot:~$ lsusb | grep Kvaser

Bus 003 Device 008: ID 0bfd:0108 Kvaser AB

通过查找系统日志中的错误，并会发现类似错误 “所需密钥不可用”。

apr 19 16:05:38 mypc /usr/sbin/mhydra.sh[22789]: modprobe: ERROR: could not insert ’mhydra’:

Required key not available

apr 19 16:05:38 mypc systemd-udevd[22776]: Process ’/usr/sbin/mhydra.sh start’ failed with exit code 1.

这需要签名模块使其在计算机上工作。在下篇文章中将介绍如何构建和签署 Kvaser 驱动程序模块，以便能够在启用了安全启动的 Linux 计算机上使用它们。

更多培训课程，学习资讯，课程优惠等学校信息，请进入 广州荔湾区Web培训广州越秀区Python培训广州海珠区Linux云计算培训 网站详细了解，免费咨询电话：400-998-6158