在数字化浪潮席卷全球的当下,服务器操作系统的安全性已成为企业稳健运行的根基。每一次系统启动,都可能成为恶意软件潜入的突破口。为应对这一严峻挑战,tencentos 安全团队持续深耕操作系统底层安全能力建设,现已全面实现对安全启动(secure boot)功能的支持。不仅成功为 tencentos server v4 的引导程序获取微软官方签名,更与国内权威认证机构 cfca 达成战略合作,构建起双轨并行、“开箱即用”的安全启动保障体系,为企业筑牢从固件到操作系统的全链路防线。
共建国产生态,携手CFCA打造可信启动标准
TencentOS 与中国金融认证中心(CFCA)强强联合,基于 CFCA 构建的国产 CA 根证书体系,完成了 TencentOS Server V4 在国产化环境下的安全启动适配流程。
双方合作后,TencentOS 团队将其 shim 引导组件提交至 CFCA 的安全启动签名平台,并通过严格的代码审计和合规性审查,最终获得由 CFCA 签发的数字签名。该签名已集成进最新发布的 shim 软件包中,用户可直接使用,无需额外配置。
作为经中国人民银行及国家信息安全管理机构批准设立的国家级电子认证服务机构,CFCA 凭借高安全等级的密码技术、严谨的代码审核机制以及可靠的签名服务能力,正加速推动国产操作系统安全启动标准的建立。目前,CFCA 已与多家主流国产服务器厂商达成合作,将自身公钥预置入服务器 BIOS 固件中,从而原生支持 Linux 系统的安全启动验证。
安全启动(Secure Boot)是 UEFI 规范中的核心防护机制,旨在阻止未经授权或被篡改的代码在操作系统加载前执行。它通过构建一条从硬件到操作系统的信任链,确保每一级引导组件均经过合法签名验证。若验证失败,系统将拒绝加载相关模块,有效抵御 bootkit 等底层持久化攻击。
默认情况下,UEFI 固件仅信任 DB(签名数据库)中预置的微软或 OEM 厂商公钥,这意味着用户自定义编译的内核、grub2 等引导程序在启用安全启动时无法直接运行——这正是 Linux 生态长期面临的兼容性难题。
为此,社区引入 MOK(Machine Owner Key)机制作为补充方案,并开发了 shim 这一特殊引导层。shim 可嵌入操作系统厂商的公钥,并将其注册到 MOK 列表中,后续由对应私钥签名的 grub2、内核等组件即可被正常加载。这种设计无需主板厂商预装密钥,极大提升了 Linux 安全启动的灵活性与可扩展性。
打通国际通道,拿下微软签名实现广泛兼容
为了在更广泛的通用服务器环境中实现无缝启用安全启动,Linux 发行版必须让其 shim 组件获得主流固件的信任。由于当前市面上绝大多数商用服务器出厂即内置微软签名密钥,因此获得微软官方签名成为最高效、最普适的解决方案。
TencentOS 团队严格遵循开源社区规范:首先向 shim-review 邮件列表提交详细的技术文档和源码,完成社区安全评审并获得向微软申请签名的资格;随后将 shim 文件上传至微软 UEFI Signing Service 平台,在提供公司资质证明和说明材料后,顺利通过审核,最终取得内置 TencentOS 公钥的微软签名 shim 文件。
与此同时,TencentOS 对安全启动所涉及的密钥实施严格管控,仅对正式发布的 grub2 和内核进行签名操作,在满足 shim 验证逻辑的同时,最大程度保障私钥资产的安全。
由此,TencentOS Server V4 实现了真正的“开箱即用”——无论是在物理服务器还是主流虚拟化平台上,只要启用 UEFI 安全启动,即可自动完成从 shim 到 grub2 再到内核的信任链校验,无需人工干预,显著提升部署效率与安全水位。
从联合 CFCA 构建国产信任体系,到成功获取微软签名拓展全球兼容能力,TencentOS Server V4 始终以用户数据安全为核心使命。其双轨并行的安全启动方案,既满足国产化场景下的自主可控需求,又保障通用环境下的即插即用体验,充分展现了 TencentOS 在操作系统安全领域的深厚积累与前瞻视野。
