2.2 システムの起動に使用するバイナリの制限

セキュア・ブートでは、カーネル・モジュール・レベルまで下る信頼のチェーンがサポートされています。

セキュア・ブートは、UEFIブート・アーキテクチャを利用して、システムを起動できるバイナリを制限し、信頼できるエンティティの暗号署名を使用するブート・ローダーのみを許可します。つまり、UEFIブート・シーケンスで実行されるすべてのものは、システムで信頼できると認識されているキーによって署名される必要があります。システムを再起動するたびに、ブート・シーケンス内のすべてのコンポーネントが検証され、マルウェアがブート・シーケンス内の埋込みコードを隠せないようにします。

ロード可能なカーネル・モジュールは信頼できるキーで署名されている必要があり、署名がない場合はカーネルにロードできません。

次の信頼できるキーは、UEFIブート・フレームワークの下で保持されます。

• Database (DB) - 既知のキーを含む署名データベースです。DBに対して確認できるバイナリのみが許可されます。

• Forbidden Database (DBX) - ブロックされているキーです。DBX内のエントリと一致するキーを持つオブジェクトをロードしようとすると、拒否されます。これは、正しくないキーを示すリストです。

• Machine Owner Key (MOK) - インストールするカーネル・モジュールのためにユーザーが追加したキーです。

• Platform Key (PK) - システム・ベンダーによってインストールされたキーです。このキーは、ベンダーによってインストールされ、ILOMファームウェア内にあります。このキーには、ホストからはアクセスできません。

• Key Exchange Key (KEK) - 署名データベースの更新に必要なキーです。

UEFI構成メニューによるキーの追加、キーの変更またはセキュア・ブートの有効化および無効化には、ユーザーがシステム・コンソールにアクセスできる必要があります。Linuxを実行するほとんどのUEFI対応サーバーでは、デフォルトのブート・ローダーはgrub2です。セキュア・ブートが有効になっている場合は、さらにshimブート・ローダーが必要です。セキュア・ブート・モードで起動している場合は、最初にshimloaderが呼び出されます。それは、信頼できる署名がこれに含まれているためです。shimloaderは、次にgrub2をロードします。これはその後、OSカーネル(これも署名されている)をロードします。

Exadataシステム・ハードウェアでのセキュア・ブートの最小システム要件は、Oracle Exadata System Softwareリリース19.1.0のOracle Exadata X7-2です。セキュア・ブートは、最小システム要件を満たすExadataストレージ・サーバー、ベア・メタル・データベース・サーバーおよびKVMホストでデフォルトで有効になっています。

Oracle Exadata System Softwareリリース24.1.0では、セキュア・ブートがOracle Linux KVMゲストにまで拡張されています。

セキュア・ブートは、XenベースのOracle VMサーバー(Dom0)およびOracle VMゲスト(DomU)ではサポートされていません。

• Exadataシステム・ハードウェアでのセキュア・ブートの有効化
  セキュア・ブートは、サポートされているExadataストレージ・サーバー、ベア・メタル・データベース・サーバーおよびKVMホストでデフォルトで有効になっています。
• KVMゲスト・セキュア・ブートの有効化
  Oracle Exadata System Softwareリリース24.1.0では、セキュア・ブートがOracle Linux KVMゲストにまで拡張されています。
• セキュア・ブートで使用するキーと証明書の管理
  
• セキュア・ブートのトラブルシューティング
  セキュア・ブートが有効になっている場合、次の問題が発生する可能性があります。