Microsoft MVP성태의 닷넷 이야기
Linux: 102. Linux - 커널 이미지 파일 서명 (Ubuntu 환경) [링크 복사], [링크+제목 복사],
조회: 1147
글쓴 사람
정성태 (seongtaejeong at gmail.com)
홈페이지
첨부 파일
 
(연관된 글이 1개 있습니다.)
(시리즈 글이 5개 있습니다.)
개발 환경 구성: 162. 닷넷 개발자가 컴파일해 본 리눅스
; https://www.sysnet.pe.kr/2/0/1325

개발 환경 구성: 730. github - Linux 커널 repo를 윈도우 환경에서 git clone하는 방법
; https://www.sysnet.pe.kr/2/0/13787

Linux: 97. menuconfig에 CONFIG_DEBUG_INFO_BTF, CONFIG_DEBUG_INFO_BTF_MODULES 옵션이 없는 경우
; https://www.sysnet.pe.kr/2/0/13789

Linux: 98. Ubuntu 22.04 - 리눅스 커널 빌드 및 업그레이드
; https://www.sysnet.pe.kr/2/0/13790

Linux: 102. Linux - 커널 이미지 파일 서명 (Ubuntu 환경)
; https://www.sysnet.pe.kr/2/0/13807




Linux - 커널 이미지 파일 서명 (Ubuntu 환경)

직접 빌드한 커널 이미지를,

Ubuntu 22.04 - 리눅스 커널 빌드 및 업그레이드
; https://www.sysnet.pe.kr/2/0/13790

(대표적으로) Secure Boot 환경에서 사용하고 싶다면 서명을 해야 합니다. 이에 대해서는 문서가 많이 있으니 쉽게 적용할 수 있는데요,

How to sign things for Secure Boot
; https://ubuntu.com/blog/how-to-sign-things-for-secure-boot

Chapter 3. Signing a kernel and modules for Secure Boot
; https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/html/managing_monitoring_and_updating_the_kernel/signing-a-kernel-and-modules-for-secure-boot_managing-monitoring-and-updating-the-kernel

이번 글에서는 위의 내용을 간단하게 정리해 보겠습니다. ^^




우선, openssl로 커널 서명 용도를 만족하는 키를 생성하기 위해 cnf 파일을 만들고,

$ cat kernel_key.cnf
HOME                    = .
RANDFILE                = $ENV::HOME/.rnd 
[ req ]
distinguished_name      = req_distinguished_name
x509_extensions         = v3
string_mask             = utf8only
prompt                  = no

[ req_distinguished_name ]
commonName              = Secure Boot Signing Key

[ v3 ]
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always,issuer
basicConstraints        = critical,CA:FALSE
extendedKeyUsage        = codeSigning,1.3.6.1.4.1.311.10.3.6
nsComment               = "OpenSSL Generated Certificate"

이 설정을 반영해 키를 생성합니다.

$ openssl req -config ./kernel_key.cnf -new -x509 -newkey rsa:2048 -nodes -days 36500 -outform DER -keyout "kernel_key.priv" -out "kernel_key.der"

$ sudo openssl x509 -in kernel_key.der -inform DER -outform PEM -out kernel_key.pem

$ ls kernel_*
kernel_key.cnf  kernel_key.der  kernel_key.pem  kernel_key.priv

그다음, 해당 커널이 로드될 시스템에 위에서 생성한 키의 공개키 파트를 등록합니다.

// 암호는 임의로 설정합니다. (나중에 쓸 것이니 기억해 두세요.)

$ sudo mokutil --import kernel_key.der
input password: 
input password again: 

이후 "reboot"을 하면 다음 화면과 같이 잠시 "Shim UEFI key management" 화면이 나타납니다. (이 화면을 보여주는 프로그램의 이름이 "MOKManager" 라는군요. ^^)

sign_linux_kernel_1.png

그럼 아무 키나 누르면 화면이 넘어가는데요,

sign_linux_kernel_2.png

"Enroll MOK"을 선택하고 Enter를 누르면 다음 메뉴로 넘어가는데 (등록 키의 개수에 따라 다를 수 있는) "View key 0"와 "Continue"에서 "View key 0"를 선택해 Enter를 누릅니다. 그럼, 방금 전에 "mokutil"로 등록한 키에 해당하는 내용이 나올 것입니다. 해당 키가 맞는다면 Enter를 눌러 이전 메뉴로 돌아와 이번엔 "Continue"를 선택, 이어서 "Yes"를 선택합니다.

그럼 (역시 위에서 mokutil 실행 시 입력했던) 암호를 묻는 단계가 나오고, 통과하면 "Reboot"을 선택해 재부팅하면 됩니다.

이후, 정상적으로 등록됐는지는 이렇게 확인할 수 있습니다.

$ sudo mokutil --list-enrolled
[key 1]
SHA1 Fingerprint: 76:a0:92:06:58:00:bf:37:69:01:c3:72:cd:55:a9:0e:1f:de:d2:e0
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            b9:41:24:a0:18:2c:92:67
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=GB, ST=Isle of Man, L=Douglas, O=Canonical Ltd., CN=Canonical Ltd. Master Certificate Authority
        ...[생략]...

[key 2]
SHA1 Fingerprint: 06:1d:0c:9f:d6:b5:cb:35:3f:82:ea:c7:ae:15:c2:4a:c1:df:8c:46
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            64:2c:10:08:10:ce:f6:53:77:e3:92:ed:d1:97:1c:45:53:d8:11:aa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Secure Boot Signing Key
        ...[생략]...




자, 이제 마지막으로 빌드된 커널 이미지 파일을 서명해 주면 됩니다.

$ ll /boot/vmlinuz-6.*
-rw-r--r-- 1 root root 13382144 Nov  8 05:39 /boot/vmlinuz-6.11.5
-rw------- 1 root root 14952840 Sep 27 12:26 /boot/vmlinuz-6.8.0-48-generic

제 경우에 6.8.0-48-generic이 최초 Ubuntu 24.04에 사용된 것이고, 새롭게 6.11.5 버전을 빌드한 것인데요, 이것을 다음과 같은 식으로 서명하시면 됩니다.

$ sudo sbsign --key kernel_key.priv --cert kernel_key.pem /boot/vmlinuz-6.11.5 --output /boot/vmlinuz-6.11.5.signed
Signing Unsigned original image

$ ls /boot/vmlinuz-6.*
/boot/vmlinuz-6.11.5  /boot/vmlinuz-6.11.5.old  /boot/vmlinuz-6.11.5.signed  /boot/vmlinuz-6.8.0-48-generic

그다음 서명되지 않은 initrd.img-* 파일이 있을 텐데요, (위의 경우 initrd.img-6.11.5) 이것을 위에서 만든 signed 이름 규칙을 따라 또 하나 만들어 줍니다.

$ sudo cp /boot/initrd.img-6.11.5{,.signed}

$ ls /boot/initrd.img-6.*
/boot/initrd.img-6.11.5  /boot/initrd.img-6.11.5.signed  /boot/initrd.img-6.8.0-48-generic

끝입니다. 이제 GRUB 설정을 업데이트하고,

$ sudo update-grub
Sourcing file `/etc/default/grub'
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.11.5.signed
Found initrd image: /boot/initrd.img-6.11.5.signed
Found linux image: /boot/vmlinuz-6.11.5
Found initrd image: /boot/initrd.img-6.11.5
Found linux image: /boot/vmlinuz-6.11.5.old
Found initrd image: /boot/initrd.img-6.11.5
Found linux image: /boot/vmlinuz-6.8.0-48-generic
Found initrd image: /boot/initrd.img-6.8.0-48-generic
Warning: os-prober will not be executed to detect other bootable partitions.
Systems on them will not be added to the GRUB boot configuration.
Check GRUB_DISABLE_OS_PROBER documentation entry.
Adding boot menu entry for UEFI Firmware Settings ...
done

재부팅하면 새로운 버전의 커널이 부팅될 것입니다.

$ uname -r
6.11.5





[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]






[최초 등록일: ]
[최종 수정일: 11/9/2024]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13838정성태12/4/2024632오류 유형: 935. Windbg - Breakpoint 0's offset expression evaluation failed.
13837정성태12/3/2024700디버깅 기술: 204. Windbg - 윈도우 핸들 테이블 (3) - Windows 10 이상인 경우
13836정성태12/3/2024922디버깅 기술: 203. Windbg - x64 가상 주소를 물리 주소로 변환 (페이지 크기가 2MB인 경우)
13835정성태12/2/2024985오류 유형: 934. Azure - rm: cannot remove '...': Directory not empty
13834정성태11/29/20241073Windows: 275. C# - CUI 애플리케이션과 Console 윈도우 (Windows 10 미만의 Classic Console 모드인 경우)파일 다운로드1
13833정성태11/29/20241077개발 환경 구성: 737. Azure Web App에서 Scale-out으로 늘어난 리눅스 인스턴스에 SSH 접속하는 방법
13832정성태11/27/20241110Windows: 274. Windows 7부터 도입한 conhost.exe
13831정성태11/27/2024977Linux: 111. eBPF - BPF_MAP_TYPE_PERF_EVENT_ARRAY, BPF_MAP_TYPE_RINGBUF에 대한 다양한 용어들
13830정성태11/25/20241069개발 환경 구성: 736. 파이썬 웹 앱을 Azure App Service에 배포하기
13829정성태11/25/20241026스크립트: 67. 파이썬 - Windows 버전에서 함께 설치되는 py.exe
13828정성태11/25/20241047개발 환경 구성: 735. Azure - 압축 파일을 이용한 web app 배포 시 디렉터리 구분이 안 되는 문제파일 다운로드1
13827정성태11/25/20241117Windows: 273. Windows 환경의 파일 압축 방법 (tar, Compress-Archive)
13826정성태11/21/20241174닷넷: 2313. C# - (비밀번호 등의) Console로부터 입력받을 때 문자열 출력 숨기기(echo 끄기)파일 다운로드1
13825정성태11/21/20241144Linux: 110. eBPF / bpf2go - BPF_RINGBUF_OUTPUT / BPF_MAP_TYPE_RINGBUF 사용법
13824정성태11/20/20241083Linux: 109. eBPF / bpf2go - BPF_PERF_OUTPUT / BPF_MAP_TYPE_PERF_EVENT_ARRAY 사용법
13823정성태11/20/20241084개발 환경 구성: 734. Ubuntu에 docker, kubernetes (k3s) 설치
13822정성태11/20/20241044개발 환경 구성: 733. Windbg - VirtualBox VM의 커널 디버거 연결 시 COM 포트가 없는 경우
13821정성태11/18/20241170Linux: 108. Linux와 Windows의 프로세스/스레드 ID 관리 방식
13820정성태11/18/20241127VS.NET IDE: 195. Visual C++ - C# 프로젝트처럼 CopyToOutputDirectory 항목을 추가하는 방법
13819정성태11/15/20241122Linux: 107. eBPF - libbpf CO-RE의 CONFIG_DEBUG_INFO_BTF 빌드 여부에 대한 의존성
13818정성태11/15/20241215Windows: 272. Windows 11 24H2 - sudo 추가
13817정성태11/14/20241100Linux: 106. eBPF / bpf2go - (BPF_MAP_TYPE_HASH) Map을 이용한 전역 변수 구현
13816정성태11/14/20241157닷넷: 2312. C#, C++ - Windows / Linux 환경의 Thread Name 설정파일 다운로드1
13815정성태11/13/20241100Linux: 105. eBPF - bpf2go에서 전역 변수 설정 방법
13814정성태11/13/20241214닷넷: 2311. C# - Windows / Linux 환경에서 Native Thread ID 가져오기파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...