SECUREBOOT.ECLASS

章节: eclass-manpages (5)
更新时间: 2024 年 11 月
索引返回主内容

名称

secureboot.eclass - 用于为安全启动签名 EFI 文件的小型 eclass

用于安装 .efi 文件的软件包的 eclass。一个使用标志和两个用户变量允许为在启用了安全启动的系统上使用这些 .efi 文件签名。

在 emerge 期间对文件进行签名可确保任何实际安装引导加载程序和内核到 ESP 的工具始终使用已签名版本。这可以防止在升级内核或引导加载程序时意外破坏安全启动。

使用示例

src_install() {
        default
        secureboot_sign_efi_file in.efi out.efi.signed
}

或者

src_install() {
        default
        secureboot_auto_sign
}

一些工具会自动检测和使用带有 .signed 后缀的 EFI 可执行文件。对于不执行此操作的工具，可以使用 secureboot_auto_sign 的 --in-place 参数来确保使用已签名版本。

7 8

secureboot_pkg_setup: 在开始构建之前检查是否设置了必需的用户变量
secureboot_sign_efi_file <输入文件> [<输出文件>]: 使用 sbsign 和请求的密钥/证书对文件进行签名。如果文件已使用我们的密钥签名，则会跳过该文件。如果没有指定输出文件，则输出文件将与输入文件相同，即文件将被覆盖。
secureboot_auto_sign [--in-place]: 自动发现并对映像目录中的 efi 文件进行签名。
默认情况下，已签名的文件会获得 .signed 后缀。如果给出 --in-place 参数，efi 文件将被已签名的版本替换。

SECUREBOOT_SIGN_KEY (用户变量): 与 USE=secureboot 一起使用。应设置为要使用的 PEM 格式私钥的路径，或 PKCS#11 URI。
SECUREBOOT_SIGN_CERT (用户变量): 与 USE=secureboot 一起使用。应设置为要使用的 PEM 格式公钥证书的路径。

作者: Andrew Ammerlaan <[email protected]>

Andrew Ammerlaan <[email protected]>

secureboot.eclass

本文档由 man2html 使用手册页创建。
时间: 2024 年 11 月 12 日 03:27:01 GMT