Режим SecureBoot#

Использование режима безопасной загрузки (SecureBoot) повышает безопасность системы, предотвращая запуск неподписанного программного обеспечения на этапе загрузки. Для работы в данном режиме все компоненты (UEFI operating system boot loader, SberLinux kernel, all kernel modules) должны быть подписаны приватным ключом и проверяться с использованием соответствующего открытого ключа.

Подготовка корневого сертификата#

Пример структуры корневого сертификата открытого ключа для SecureBoot приведен ниже:

-----BEGIN CERTIFICATE-----

<X.509_СЕРТИФИКАТ>

-----END CERTIFICATE-----

Примечание

Открытый ключ включен в пакет edk2 и размешен в разделе /boot/efi.

Для использования открытого ключа выполните следующие действия:

  1. Сохраните корневой сертификат в текстовый файл ASCII (RFC1113) с любым расширением, например: .pem.

  2. Сконвертируйте файл в бинарный формат с помощью команды:

    openssl x509 -in secureboot_ca.pem -out secureboot_ca.cer -outform DER

    Где:

    • secureboot_ca.pem - файл, созданный на шаге 1;

    • secureboot_ca.cer - выходной бинарный файл.

  3. Запишите корневой сертификат открытого ключа на USB-флеш-накопитель или на виртуальный флеш-накопитель (далее – флеш-накопитель).

Важно

Флеш-накопитель должен иметь формат fat32.

Включение режима SecureBoot#

SecureBoot, реализованный в Unified Extensible Firmware Interface (UEFI), проверяет цифровые подписи загрузчика и модулей ядра перед их запуском. Пользовательские приложения проверке не подлежат. Если подписи не совпадают с доверенными ключами, загрузка системы прекращается.

Важно

Интерфейс меню настроек базовой системы ввода-вывода может отличаться в зависимости от модели машины.

Чтобы включить режим SecureBoot, выполните следующие действия:

  1. Подключите флеш-накопитель к машине.

  2. Перезагрузите систему.

  3. Перейдите в меню настроек UEFI.

  4. Перейдите в раздел Server Security и выберите Secure Boot Settings.

  5. В расширенных настройках режима SecureBoot (Advanced Secure Boot Options) выберите Allowed Signatures Database (DB) Options и перейдите в раздел Enroll Signature.

  1. Перейдите в раздел Enroll Signature Using File и в раскрывшемся списке выберите флеш-накопитель.

  1. Сохраните изменения.

  2. Включите режим SecureBoot в Secure Boot Settings.

  1. Перезагрузите систему.

Отключение режима SecureBoot#

  1. Перезагрузите систему.

  2. Перейдите в меню настроек UEFI.

  3. Перейдите в раздел Server Security и выберите Secure Boot Settings.

  4. Измените статус режима SecureBoot на Disabled.

  5. Сохраните изменения и выйдите из меню настроек.

  6. Перезагрузите систему.

Проверка#

Утилита mokutil позволяет проверить, включен ли SecureBoot в системе.

Примечание

Для установки утилиты mokutil выполните команду:

dnf install mokutil

Чтобы проверить статус режима SecureBoot, выполните команду:

mokutil --sb-state

Ожидаемые результаты команды:

  • Если SecureBoot включен:

    SecureBoot enabled

  • Если SecureBoot недоступен или отключен:

    SecureBoot disabled

    или

    Failed to read SecureBoot