[2024-feb-29] Sad news: Eric Layton aka Nocturnal Slacker aka vtel57 passed away on Feb 26th, shortly after hospitalization. He was one of our Wiki's most prominent admins. He will be missed.
Diferencias
Muestra las diferencias entre dos versiones de la página.
Próxima revisiónAmbos lados, revisión siguiente | |||
es:howtos:security:enabling_secure_boot [2019/02/11 01:42 (UTC)] – creado slackwarespanol | es:howtos:security:enabling_secure_boot [2019/02/20 02:50 (UTC)] – ak3.devel | ||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | ====== Enabling Secure Boot on Slackware ====== | + | <note warning> |
- | On Unified Extensible Firmware Interface (UEFI) based hardware, a system can operate in Secure Boot mode. In Secure Boot mode, only EFI binaries (i.e. boot managers, boot loaders) that are trusted by the platform owner, either explicitly or via a chain of trust, are allowed to run at boot time. This prevents unauthorised EFI binaries and operating systems from running on your system, which can improve security. | + | |
- | This article will teach you: | ||
- | * About Secure Boot keys and signature databases | ||
- | * How to enroll Secure Boot keys while booted into Slackware | ||
- | * How to sign EFI binaries for use in Secure Boot mode. | ||
- | <note important> | ||
- | <note important> | ||
- | ===== Secure Boot Keys and Signature Databases ===== | ||
- | Two types of Secure Boot keys are used to create trust relationships: | ||
- | * Platform Key - This establishes the trust relationship between the platform owner and platform firmware. Only one Platform Key can be stored by the UEFI firmware. The public key is stored in the '' | ||
- | * Key Exchange Key - This establishes the trust relationship between the operating system and platform firmware. Multiple Key Exchange Keys can be stored by the UEFI firmware. The public keys are stored in the '' | ||
- | There are two signature databases for authorising EFI binaries: | ||
- | * Forbidden signature database - This stores hashes and public signing keys of forbidden EFI binaries. This uses the '' | ||
- | * Authorised signature database - This stores hashes and public signing keys of trusted EFI binaries. This uses the '' | ||
- | ===== Requirements | + | ====== Habilitando el arranque seguro en Slackware ====== |
- | You will need the [[https:// | + | En el hardware basado en la Interfaz de firmware extensible unificada (UEFI), un sistema puede operar en modo de arranque seguro. En el modo de arranque seguro, solo los binarios EFI (es decir, los gestores de arranque, los cargadores de arranque) en los que el propietario de la plataforma confía, ya sea explícitamente o mediante una cadena de confianza, pueden ejecutarse en el momento del arranque. Esto evita que los binarios y sistemas operativos no autorizados de EFI se ejecuten en su sistema, lo que puede mejorar la seguridad. |
- | If you do not already have your own Platform Key enrolled in the UEFI firmware, the howto assumes you have Secure Boot off and have cleared the '' | + | Este artículo te enseñará: |
+ | * Acerca de las claves de arranque seguro y las bases de datos de firmas | ||
+ | * Cómo registrar claves de arranque seguro mientras se inicia en Slackware | ||
+ | * Cómo firmar archivos binarios de EFI para su uso en el modo de arranque seguro. | ||
+ | <note important> | ||
+ | <note important> | ||
- | ===== Enrolling Secure Boot Keys and Signature Database Entries | + | ===== Claves de arranque seguro y bases de datos de firmas |
- | If you do not have an existing Platform | + | Se utilizan dos tipos de claves de arranque seguro para crear relaciones de confianza: |
+ | * Clave de la plataforma: esto establece la relación de confianza entre el propietario de la plataforma y el firmware de la plataforma. El firmware UEFI solo puede almacenar una clave de plataforma. La clave pública se almacena en la variable de arranque seguro '' | ||
+ | * Key Exchange Key: establece la relación de confianza entre el sistema operativo y el firmware de la plataforma. El firmware UEFI puede almacenar múltiples claves de intercambio de claves. Las claves públicas se almacenan en la variable de arranque seguro " | ||
+ | |||
+ | Hay dos bases de datos de firmas para autorizar binarios de EFI: | ||
+ | * Base de datos de firmas prohibidas: almacena hashes y claves de firma públicas de binarios EFI prohibidos. Esto utiliza la variable de arranque seguro '' | ||
+ | * Base de datos de firmas autorizada: almacena hashes y claves de firma públicas de binarios de EFI de confianza. Esto utiliza la variable de arranque seguro '' | ||
+ | |||
+ | ===== Requisitos ===== | ||
+ | Necesitarás el paquete [[https:// | ||
+ | |||
+ | Si aún no tiene su propia clave de plataforma inscrita en el firmware UEFI, el howto asume que tiene desactivado el arranque seguro y que ha borrado la variable '' | ||
+ | |||
+ | ===== Inscripción de claves de inicio seguro y entradas de base de datos de firmas ===== | ||
+ | Si no tiene un par de claves de plataforma existentes y un par de claves de firma binaria | ||
< | < | ||
-keyout PK.priv -out PK.pub -days 3650 -nodes -sha256 | -keyout PK.priv -out PK.pub -days 3650 -nodes -sha256 | ||
openssl req -new -x509 -newkey rsa:2048 -subj "/ | openssl req -new -x509 -newkey rsa:2048 -subj "/ | ||
-keyout db.priv -out db.pub -days 3650 -nodes -sha256</ | -keyout db.priv -out db.pub -days 3650 -nodes -sha256</ | ||
- | which creates private keys with the '' | + | que crea claves privadas con la extensión |
- | < | + | < |
To prepare a new Platform Key for writing to the '' | To prepare a new Platform Key for writing to the '' | ||
- Insert the public Platform Key into an EFI signature list: < | - Insert the public Platform Key into an EFI signature list: < |