openEuler 社区签名体系建立

最新推荐文章于 2025-12-02 14:13:54 发布
原创 最新推荐文章于 2025-12-02 14:13:54 发布 · 900 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openEuler #操作系统 #开源 #运维 #linux

近年来,网络安全形势日益严峻,各种攻击手段层出不穷。软件的构建、发布、安装、运行等环节都面临着安全威胁。对以开源软件为主的 openEuler 操作系统来说,软件组件的完整性保护至关重要。通过在社区建立以 PKI (Public Key Infrastructure,公钥基础设施)为基础的软件发布签名体系,结合从系统启动到运行的端到端完整性保护技术,可以有效防护各个环节的攻击,从而提升系统安全性。

安全启动(Secure Boot)是利用公私钥对启动部件进行签名和验证。在启动过程中,前一个部件验证后一个部件的数字签名,如果能验证通过,则运行后一个部件;如果验证不通过,则停止启动。通过安全启动可以保证系统启动过程中各个部件的完整性,防止没有经过认证的部件被加载运行,从而防止对系统及用户数据产生安全威胁。

openEuler 在支持安全启动的基础上,还通过支持内核模块签名、IMA 文件完整性保护等机制,将基于数字签名的保护链路进一步延伸至内核模块和应用程序文件(广义安全启动),整个验证过程可包含如下四个部分:

  • 启动阶段:BIOS->shim->grub->内核(EFI 加载前进行签名校验);

  • 运行阶段(模块加载):内核->内核模块(模块插入时进行签名校验);

  • 运行阶段(文件访问):内核->文件(应用程序执行或普通文件访问时进行签名校验);

  • 运行阶段(软件包安装):包管理组件->RPM 软件包(软件包安装时进行签名校验)。

为支持“开箱即用”的安全启动能力,核心是在 openEuler 社区建立以 PKI 为基础的软件构建签名体系。在软件构建阶段,自动为目标文件添加数字签名,并在关键组件中预置公钥证书,从而在用户安装 openEuler 镜像后,可以直接开启相关的签名校验机制,提升系统安全性。

整体方案介绍

自 openEuler 24.03 LTS 版本开始,openEuler 采用统一的签名平台进行签名证书和密钥的管理以及签名生成,并对接 Eu

最低0.47元/天 解锁文章
OpenSSL实验
LongL_GuYu的博客
02-20 2266
OpenSSL
openEuler本地构建RPM包实战(一)——基础知识
那些比你走的远的人,并非就比你聪明,只是每天多走了一点
04-05 1454
rpm包是 Red Hat Package Manager的缩写,它是一种软件包管理工具,主要用于Linux操作系统中管理和分发软件包。 RPM包包含了一个软件的所有相关组件,如可执行的二进制文件(binaries)、库文件(libraries)、配置文件以及其他必要的支持文件。这些组件通常被打包到一个预编译的二进制文件中,使得软件的安装过程变得简单化和自动化。
四大升级!助力首个 AI 原生开源操作系统 openEuler 24.03 LTS 正式发布
AI科技大本营
06-06 2005
openEuler 社区通过汇聚产业的创新力量,集合众多开发者的智慧,实现了 openEuler 24.03 LTS 版本四大技术升级,成为首个 AI 原生的开源操作系统
“多重人格”的操作系统——openEuler
2201_75642955的博客
02-06 4979
看到标题你可能会好奇,一个操作系统,为什么会具有“多重人格”,“openEuler”又是一个什么样的操作系统,还有“多重人格”到底指的是什么。本文的目的就旨在解答以上你心中所想的三个问题,希望读者能从中得到一些知识,一些感悟。
openEuler/龙蜥OS:不同内核版本的驱动模块可以交叉加载吗?
三问Linux社区
02-21 1172
如果内核配置中未启用强制模块签名验证(即未启用 CONFIG_MODULE_SIG_FORCE),内核在加载模块时会检查签名,但如果签名缺失或无效,内核不会拒绝加载模块,而是会打印警告信息并将内核标记为“tainted”(污染状态)。如果内核配置中启用了强制模块签名验证(即启用了 CONFIG_MODULE_SIG_FORCE),内核会要求所有模块必须具有有效的签名
Openeuler(欧拉)系统安装步骤(U盘安装)
热门推荐
GLF_MP5的博客
09-22 3万+
使用U盘安装欧拉系统在安装之前,需要使用UltraISO(软碟通)制作U盘启动盘。
OpenEuler24.03sp1双系统grub2引导windows11时要求输入用户名密码的解决办法
海笑天涯
04-04 638
安装OpenEuler系统时,需要关闭主板Secure Boot,如果 Windows 系统盘启用了,在启动时会要求输入恢复密钥或密码(尤其是当检测到引导环境变化时)。1、:在提示界面输入你的(通常是一串 48 位数字,需提前在微软账户或保存的文件中查找)。成功进入windows系统后,需要关闭系统盘的BitLocker。在控制面板中关闭,或者2、(可选操作):OpenEuler尝试挂载windows分区,有可能触发BitLocker 锁定。注释掉或删除与 Windows 分区相关的挂载项。
openEuler Embedded Yocto构建
5266的博客
03-12 2222
openEuler Embedded采用的面向嵌入式系统Yocto构建体系,而非openEuler服务器场景的OBS构建体系。虽然实现了内核和软件包在代码层面的共享,但在具体构建上有着巨大的差异,需要专门编写相应的构建文件,这也意味当前openEuler体系中众多软件包的构建规则不能直接应用于嵌入式场景。当前openEuler Embedded已经实现了250+软件包的支持,未来为了实现所有软件包的支持,显然不能把所有的软件包的构建在Yocto下重新实现一遍。
基于OpenEuler的OpenSSH 9.1p1 AArch64 RPM包发布
因此,将 OpenSSH 封装为适用于 OpenEuler 的 RPM 包,意味着该软件经过了严格的适配测试,能够无缝集成到 OpenEuler 的软件管理体系中,确保依赖关系正确、配置文件规范、服务启动脚本完善,并符合系统的安全策略和...
openEuler操作系统创新技术与全场景应用展望
与此同时,openEuler高度重视开发者生态建设,提供丰富的SDK、文档、CI/CD工具链以及开发者认证体系社区活跃度高,汇聚了来自全球的企业、高校与个人贡献者,形成了良好的协作氛围。目前已有多个通过社区认证的...
Linux 内核模块签名
weixin_41028621的博客
03-16 1733
该选项为内核强制验证功能在策略上提供了一定的灵活性,比如运行系统需要DKMS或者SystemTap支持的话,如果没有实现配套的PKI签名服务机制,最好将CONFIG_MODULE_SIG_FORCE设为n,同时为了保证安全在内核命令行参数中指定module.sig_enforce。如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块时内核会检查模块的签名, 如果签名不存在或者签名内容不一致,会强制退出模块的加载。,以验证内核模块的签名
华为OpenEuler体验系列(05)--Win10与openEuler双系统引导启动
mengyoufengyu的博客
06-27 2431
一、挂载esp分区到指定盘符 1、管理员身份打开cmd,使用diskpart diskpart select disk 0 select partition 1 SET ID=ebd0a0a2-b9e5-4433-87c0-68b6b72699c7 OVERRIDE assign letter=M exit 2、重启系统,然后 3、挂载esp分区到指定盘符 二、使用 BOOTICEx64 添加新的分区 1、BOOTICEx64 v1.3.3.2 打开后,【UEFI】–》【修改启动序列】–》点击【添加】 菜
华为OpenEuler体验系列(04)--Win10与openEuler双系统安装
mengyoufengyu的博客
06-27 2867
一、Win10已经安装(华为笔记本,512G固态硬盘),分区: 删除D分区,扩展C分区到120G,总之如下: C: 120G D: 125G E:  80G linux预留:138G 二、备份ESP分区的文件:以管理员身份启动CMD mountvol M: /s M: mkdir D:\TEMP\esp_part xcopy M:\* D:\TEMP\esp_part\ /E /C /-Y bcdedit /export D:\TEMP\esp_part\EFI\Microsoft\Boot\BC
Redis服务安装自启动(Windows版)
2509_94199043的博客
11-29 869
一般来说,一些中大型企业都会去采用 Linux 服务器来部署 Redis,而且 Redis 官方并没有提供 [Windows 版本](https://gitcode.com/gh_mirrors/wi/windows/overviewutm_source=highlight_word_gitcode&word=windows&isLogin=1 "Windows 版本")的安装包。
MySQL数据库的数据文件保存在哪?MySQL数据存在哪里
2509_94083514的博客
11-30 759
在安装好MySQL数据库使用一段时间后,会产生许多的数据库和数据。那这些数据库的数据文件存放在本地文件夹的什么位置呢一、默认位置MySQL创建的数据库实际上存储在文件系统的一个特定目录中,该目录通常为MySQL的数据目录。这个目录的默认位置依据操作系统和MySQL的安装方式不同而有所差异。、这个目录通常位于,它可能位于是个隐藏文件夹)**其中“X.X”是MySQL的版本号。目录(每个数据库都有一个与其同名的文件夹,而这个文件夹中包含了该数据库的所有表的文件,而其中的文件代表了数据库中的表。
Day4 AtomGit口袋工具开发1.0
最新发布
Rene_ZHK的博客
12-02 666
Day4 AtomGit口袋工具开发1.0
Linux性能调优详解FIO性能测试的几个常用场景
运维老生常谈
11-29 675
fio是测试存储系统非常重要的工具,能够快速检测出磁盘的IOPS、吞吐能力,以及时间延迟。该工具能够发起指定类型的IO操作,例如顺序读写、随机读写。同时还可以发起多线性,模拟高负载场景。针对常用的IOPS、吞吐量、时延,如何有效利用fio工具,下面进行详细的讲解。
Linux 理解 Shell 提示符:PS0 PS1 PS2 PS3 PS4
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
11-28 692
Linux 理解 Shell 提示符:PS0 PS1 PS2 PS3 PS4
Tomcat闪退问题以及解决原因(三种闪退原因有解决办法)
2509_94082062的博客
11-28 238
如果你在启动 Tomcat 时遇到闪退问题,并且发现没有任何错误信息或日志记录,那么很可能是由于 Java JDK 未配置或配置不正确导致的。即使你已经配置了 JAVA_HOME 环境变量,但如果路径不正确或指向了一个不存在的 JDK 安装目录,也会导致 Tomcat 无法启动。有时虽然已经正确配置了 JAVA_HOME,但由于 Tomcat 版本与 JDK 版本不兼容,也会导致 Tomcat 启动失败。如果当前 JDK 版本不兼容,建议下载并安装一个与 Tomcat 兼容的 JDK 版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

openEuler社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值