CN112487435B

CN112487435B - 基于x86架构的安全启动方法

Info

Publication number: CN112487435B
Application number: CN202011231938.6A
Authority: CN
Inventors: 郭皓; 吴春光; 刘步权; 齐璇; 战茅
Original assignee: Kirin Software Co Ltd
Current assignee: Kirin Software Co Ltd
Priority date: 2020-11-06
Filing date: 2020-11-06
Publication date: 2022-09-06
Anticipated expiration: 2040-11-06
Also published as: CN112487435A

Abstract

本发明涉及一种基于X86架构的安全启动方法，包括如下步骤：步骤S1：利用编译机产生可信根证书和被证书签名的内核rpm包；步骤S2：利用测试机导入可信根证书，并打开SecureBoot功能。本发明使用X86平台下的UEFI软件中的SecureBoot功能，通过使用自制根证书和签名重新编译内核源码包，从而保证了PC或服务器中的Linux内核和initramfs的有效性，当内核或initramfs被修改后，无法进入系统,达到防止他人私自篡改内核和initramfs的效果。

Description

基于X86架构的安全启动方法

技术领域

本发明涉及数据安全技术领域，具体涉及一种基于X86架构的安全启动方法。

背景技术

X86架构的服务器操作系统通常都是开源的Linux操作系统，如CentOS、Fedora、Ubuntu。Linux的内核和initramfs都是开源的，可能会被篡改，这就会给服务器造成较大的安全隐患。为了避免这个安全隐患，就需要带有安全启动功能的X86平台，在开机启动时主动度量linux内核和initramfs，从而保证服务器操作系统的安全性。

Intel公司牵头研发的UEFI软件代替了BIOS。UEFI软件提供的SecureBoot功能用于保证linux内核和initramfs的有效性。但是大多数X86架构的主板在出厂时，使用的是微软可信根和Fedora可信根。当我们把使用Fedora或CentOS提供的内核软件包源码编译内核时，也会使用Fedora可信根。这就会导致虽然开启了安全启动功能，但无法保证内核和initramfs的有效性。

也有不使用UEFI软件的SecureBoot功能实现安全启动的方法，有的面向嵌入式，不适用于X86平台，有的需要借助其他特殊芯片、特殊处理器，不适用于常见的PC或服务器。

发明内容

为解决已有技术存在的不足，本发明提供了一种基于X86架构的安全启动方法，包括如下步骤：

步骤S1：利用编译机产生可信根证书和被证书签名的内核rpm包；

步骤S2：利用测试机导入可信根证书，并打开SecureBoot功能。

其中，所述步骤S1包括：

步骤S11：制作SecureBoot的启动证书；

步骤S12：进行签名证书创建；

步骤S13：制作SecureBoot启动的证书的uefi-secureboot-key软件rpm包；

步骤S14：安装secureboot启动的证书的rpm包；

步骤S15：重新编译shim-signed、grub2、kernel。

其中，所述步骤S13包括：将生成的myca.der以及tmp文件夹中的cert8.db、key3.db、secmod.db打包为uefi-secureboot-key-1.0.tar.gz，然后使用SPECS文件：uefi-secureboot-key.spec制作为uefi-secureboot-key-1.0-el7.x86_64.rpm。

其中，所述步骤S2包括：

步骤S21：更新编译机编译的shim、grub2、kernel；

步骤S22：导入证书；

步骤S23：系统重启，进入shim，开启SecureBoot。

本发明使用X86平台下的UEFI软件中的SecureBoot功能，通过使用自制根证书和签名重新编译内核源码包，从而保证了PC或服务器中的Linux内核和initramfs的有效性，当内核或initramfs被修改后，无法进入系统,达到防止他人私自篡改内核和initramfs的效果。

具体实施方式

为了对本发明的技术方案及有益效果有更进一步的了解，下面详细说明本发明的技术方案及其产生的有益效果。

本发明的总体思路在于，为服务器增加自己产生的可信根证书，并使用此根证书重新生成内核和initramfs，把可信根证书导入到机器中，并打开SecureBoot功能。

打开SecureBoot后，验证流程如下：

(1)固件验证第一阶段的bootloader(shim-signed),验证的秘钥存储在DB中。

(2)第一阶段的bootloader(shim-signed)验证第二阶段的bootloader(grub2-efi-x64)。

(3)第二阶段的bootloader(grub2-efi-x64)调用shim接口验证kernel的签名。

(4)kernel验证modules。

在具体实施中，需要用到两个环境，分别是编译机和测试机，编译机用于产生可信根证书和被证书签名的内核RPM包。两个环境均安装CentOS7.6操作系统。

具体步骤如下：

一、编译机操作步骤：

1、制作SecureBoot的启动证书

nss＝$(mktemp-p$PWD-d)

echo>${nss}/pwfile

certutil-N-d${nss}-f${nss}/pwfile

certutil-S-s"CN＝test ca,O＝Myself,L＝Zhengzhou,ST＝

Henan,C＝CN"-n"test_ca"-x-t"CT,C,C"-1-2-5-m 730-d${nss}。

2、进行签名证书创建

certutil-S-s"CN＝test signer,O＝Myself,L＝Zhengzhou,S T＝Henan,C＝CN"-n test_signer-c"test_ca"-t"u,u,u"-1-5-6-8-m 730-d${nss}

certutil-L-n"test_ca"-d${nss}-r>～/myca.der certutil-F-n test_ca-d${nss}

certutil-A-n"test_ca"-i～/myca.der-d${nss}-t"CT,C,C"rm-f${nss}/pwfile。

3、制作SecureBoot启动的证书的uefi-secureboot-key软件rpm包

将生成的myca.der以及tmp文件夹中的cert8.db、key3.db、secmod.db打包为uefi-secureboot-key-1.0.tar.gz，然后使用SPECS文件：uefi-secureboot-key.spec制作为uefi-secureboot-key-1.0-el7.x86_64.rpm。

4、安装secureboot启动的证书的rpm包uefi-secureboot-key-1.0-el7.x86_64.rpm yum install uefi-secureboot-key。

5、重新编译shim-signed、grub2、kernel

rpm-ivh shim-signed-15-1.el7.centos.src.rpm

cd rpmbuild/SPESC

yum-builddep shim-signed.spec

rpmbuild-ba shim-signed.spec

rpm-ivh grub2-2.02-0.44.el7.src.rpm

cd rpmbuild/SPESC

yum-builddep grub2.spec

rpmbuild-ba grub2.spec

rpm-ivh kernel-3.10.0-957.el7.src.rpm

cd rpmbuild/SPESC

yum-builddep kernel.spec

rpmbuild-ba kernel.spec

二、测试机操作步骤

1、更新编译机编译的shim、grub2、kernel

rpm-Uvh shim-x64-15-1.el7.x86_64.rpm mokutil-15-1.el7.x86_64.rpmefibootmgr-17-2.el7.x86_64.rpm efivar-36-11.el7.x86_64.rpm efivar-devel-36-11.el7.x86_64.rpm efivar-libs-36-11.el7.x86_64.rpm

rpm-Uvh grub2-2.02-0.76.el7.centos.x86_64.rpm grub2-pc-2.02-0.76.el7.centos.x86_64.rpm

grub2-common-2.02-0.76.el7.centos.noarch.rpm

grub2-pc-modules-2.02-0.76.el7.centos.noarch.rpm

grub2-tools-2.02-0.76.el7.centos.x86_64.rpm

grub2-tools-minimal-2.02-0.76.el7.centos.x86_64.rpm

grub2-tools-extra-2.02-0.76.el7.centos.x86_64.rpm

grub2-efi-x64-2.02-0.76.el7.centos.x86_64.rpm

grub2-efi-x64-modules-2.02-0.76.el7.centos.noarch.rpm

rpm-Uvh--force kernel-3.10.0-957.el7.rpm。

2、导入证书

mokutil--import myca.der

输入密码，此密码为重启后进入shim环境后导入秘钥时使用。

3、系统重启，进入shim，开启SecureBoot

选择Enrolle MOK

选择Continue

输入导入myca.der时的密码

重启

在主板设置中，选择secureboot enable。

虽然本发明已利用上述较佳实施例进行说明，然其并非用以限定本发明的保护范围，任何本领域技术人员在不脱离本发明的精神和范围之内，相对上述实施例进行各种变动与修改仍属本发明所保护的范围，因此本发明的保护范围以权利要求书所界定的为准。

Claims

1.一种基于X86架构的安全启动方法，其特征在于，包括如下步骤：

步骤S2：利用测试机导入可信根证书，并打开SecureBoot功能；

所述步骤S1包括：

步骤S11：制作SecureBoot的启动证书；

步骤S12：进行签名证书创建；

步骤S14：安装secureboot启动的证书的rpm包；

步骤S15：重新编译shim-signed、grub2、kernel；

所述步骤S2包括：

步骤S21：更新编译机编译的shim、grub2、kernel；

步骤S22：导入证书；

步骤S23：系统重启，进入shim，开启SecureBoot。

2.如权利要求1所述的基于X86架构的安全启动方法，其特征在于，所述步骤S13包括：将生成的myca.der以及tmp文件夹中的cert8.db、key3.db、secmod.db打包为uefi-secureboot-key-1.0.tar.gz，然后使用SPECS文件：uefi-secureboot-key.spec制作为uefi-secureboot-key-1.0-el7.x86_64.rpm。