UEFI Secure Boot을 활성화하면 부팅 시 서명을 확인하여 운영 체제의 보안을 강화할 수 있습니다. 그러나 Red Hat Enterprise Linux (RHEL) 베타 릴리스를 사용하는 경우 베타 전용 키를 사용하기 때문에 Secure Boot을 구성하려면 몇 가지 추가 단계가 필요합니다. 이 가이드에서는 시스템에서 UEFI Secure Boot을 사용하기 위해 Red Hat 베타 공개 키를 추가하고 제거하는 방법을 설명합니다.
UEFI Secure Boot이란?
UEFI Secure Boot은 부팅 프로세스 중에 신뢰할 수 있는 소프트웨어만 실행되도록 보장하는 기능입니다. 이 과정에서 커널은 개인 키로 서명되어야 하며, 펌웨어는 시스템에 저장된 공개 키를 사용하여 서명을 확인합니다.
일반적으로 안정적인 RHEL 릴리스에서는 이 키가 이미 인식되지만, 베타 릴리스의 경우 커널이 Red Hat 베타 전용 개인 키로 서명됩니다. 하드웨어가 기본적으로 이 베타 키를 인식하지 못하므로, 시스템이 부팅에 실패할 수 있습니다. 이를 해결하기 위해 MOK (Machine Owner Key) 유틸리티를 사용하여 Red Hat 베타 공개 키를 시스템에 추가해야 합니다.
UEFI Secure Boot을 위한 베타 공개 키 추가 방법
사전 준비:
- 현재 UEFI Secure Boot이 비활성화되어 있어야 합니다.
- Red Hat Enterprise Linux 베타 릴리스가 이미 설치되어 있어야 하며, 시스템 재부팅 후에도 Secure Boot이 비활성 상태여야 합니다.
- 시스템에 로그인한 상태이며, 초기 설정 작업을 완료해야 합니다.
절차:
- 베타 공개 키 가져오기
mokutil
명령을 사용하여 Red Hat 베타 공개 키를 MOK 목록에 등록합니다:
# mokutil --import /usr/share/doc/kernel-keys/$(uname -r)/kernel-signing-ca.cer
$(uname -r)
부분은 시스템의 현재 커널 버전으로 대체됩니다. 예를 들어, 4.18.0-80.el8.x86_64
와 같은 형식일 수 있습니다.
- 비밀번호 설정
비밀번호 입력을 요청받게 되며, 이후 단계를 위해 이 비밀번호를 기억해 두세요. - 시스템 재부팅
재부팅 후, 시작을 중단하려면 아무 키나 누릅니다. 그러면 Shim UEFI 키 관리 유틸리티가 시작됩니다. - 키 등록
화면의 안내에 따라 진행합니다:
- Enroll MOK를 선택합니다.
- Continue를 선택합니다.
- Yes를 선택하고, 이전에 설정한 비밀번호를 입력합니다.
- 설정 완료
키가 시스템의 펌웨어에 성공적으로 등록된 후 Reboot를 선택합니다. - Secure Boot 활성화
이제 베타 공개 키가 성공적으로 추가되었으므로, 시스템 BIOS에서 Secure Boot을 활성화할 수 있습니다.
베타 공개 키 제거 방법
베타 릴리스에서 일반 공개 릴리스(GA)로 전환하거나 다른 운영 체제로 변경하려는 경우, 시스템의 MOK 목록에서 베타 공개 키를 제거해야 합니다.
절차:
- MOK 초기화
다음 명령을 사용하여 MOK 목록을 초기화합니다:
# mokutil --reset
키를 가져올 때 설정했던 비밀번호를 입력해야 합니다.
- 시스템 재부팅
재부팅 후, 아무 키나 눌러 Shim UEFI 키 관리 유틸리티에 접근합니다. - 초기화 절차 진행
- Reset MOK를 선택합니다.
- Continue를 선택합니다.
- Yes를 선택하고, 키 가져오기 시 설정했던 비밀번호를 입력합니다.
- 완료
키가 제거된 후 Reboot를 선택합니다.
결론
이 절차를 따르면 UEFI Secure Boot을 사용하면서도 Red Hat Enterprise Linux 베타 릴리스를 안전하게 부팅할 수 있습니다. 이 과정은 시스템 보안을 강화할 뿐만 아니라, 다양한 RHEL 버전 간의 원활한 전환을 준비하는 데 도움이 됩니다. 베타 릴리스를 설치하거나 안정적인 GA 릴리스로 되돌아가는 경우, UEFI Secure Boot과의 호환성을 유지하려면 MOK를 통해 베타 공개 키를 관리하는 것이 중요합니다.