Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
UEFISecure Boot su 023 AL2
AL2023 supporta UEFI Secure Boot a partire dalla versione 2023.1. È necessario utilizzare AL2 023 con EC2 istanze Amazon che supportano entrambi UEFI e UEFI Secure Boot. Per ulteriori informazioni, consulta Launch an instance nella Amazon EC2 User Guide.
AL2023 istanze con UEFI Secure Boot abilitato accettano solo codice a livello di kernel, incluso il kernel Linux e i moduli, che sono firmati da, Amazon così puoi assicurarti che l'istanza esegua solo codici a livello di kernel firmati da. AWS
Per ulteriori informazioni sulle EC2 istanze Amazon e UEFI Secure Boot, consulta UEFISecure Boot nella Amazon EC2 User Guide.
Prerequisiti
-
Devi utilizzare una versione AMI con la versione AL2 023 2023.1 o successiva.
-
Il tipo di istanza deve supportare UEFI Secure Boot. Per ulteriori informazioni, consulta Launch an instance nella Amazon EC2 User Guide.
Abilita UEFI Secure Boot su AL2 023
Lo standard AL2 023 AMIs incorpora un bootloader e un kernel firmati dalle nostre chiavi. È possibile abilitare UEFI Secure Boot registrando le istanze esistenti o creando AMIs con UEFI Secure Boot preattivato registrando un'immagine da un'istantanea. UEFISecure Boot non è abilitato per impostazione predefinita sullo standard 023. AL2 AMIs
La modalità di avvio AL2 023 AMIs è impostata in modo da garantire uefi-preferred che le istanze avviate con queste istanze AMIs utilizzino il UEFI firmware, se il tipo di istanza lo supporta. UEFI Se il tipo di istanza non lo supportaUEFI, l'istanza viene avviata con il firmware LegacyBIOS. Quando un'istanza viene avviata in BIOS modalità Legacy, UEFI Secure Boot non viene applicato.
Per ulteriori informazioni sulle modalità di AMI avvio sulle EC2 istanze Amazon, consulta la sezione Modalità di avvio nella Amazon EC2 User Guide.
Argomenti
Registrazione di un'istanza esistente
Per registrare un'istanza esistente, compila le variabili UEFI firmware specifiche con un set di chiavi che consentano al firmware di verificare il bootloader e al bootloader di verificare il kernel all'avvio successivo.
-
Amazon Linux fornisce uno strumento per semplificare il processo di registrazione. Esegui il comando seguente per effettuare il provisioning dell'istanza con il set di chiavi e certificati necessario.
sudo amazon-linux-sb enroll -
Esegui il seguente comando per riavviare l'istanza. Dopo il riavvio dell'istanza, verrà abilitato Secure Boot. UEFI
sudo reboot
Nota
Amazon Linux AMIs attualmente non supporta Nitro Trusted Platform Module (NitroTPM). Se hai bisogno di Nitro oltre TPM a UEFI Secure Boot, usa le informazioni nella sezione seguente.
Registrazione di un'immagine dallo snapshot
Quando registri un oggetto AMI da uno snapshot di un volume EBS root Amazon utilizzando Amazon EC2 register-imageAPI, puoi dotarlo di un blob binario che contiene lo stato dell'archivio delle UEFI variabili. AMI Fornendo lo AL2 023UefiData, abiliti UEFI Secure Boot e non è necessario seguire i passaggi della sezione precedente.
Per ulteriori informazioni sulla creazione e l'utilizzo di un blob binario, consulta Opzione B: creazione di un blob binario contenente un archivio di variabili precompilato nella Amazon EC2 User Guide.
AL2023 fornisce un blob binario predefinito che può essere utilizzato direttamente sulle istanze Amazon. EC2 Il blob binario si trova in /usr/share/amazon-linux-sb-keys/uefi.vars su un'istanza in esecuzione. Questo blob è fornito dal amazon-linux-sb-keys RPM pacchetto che viene installato di default su AL2 AMIs 023 a partire dalla versione 2023.1.
Nota
Per assicurarti di utilizzare la versione più recente delle chiavi e delle revoche, usa il blob della stessa versione di AL2 023 che usi per creare il. AMI
Quando si registra un'immagine, si consiglia di utilizzare il BootMode parametro impostato su. RegisterImageAPIuefi Ciò consente di abilitare Nitro TPM impostando il TpmSupport parametro su. v2.0 Inoltre, l'impostazione BootMode uefi garantisce che UEFI Secure Boot sia abilitato e non possa essere disabilitato accidentalmente quando si passa a un tipo di istanza che non supportaUEFI.
Per ulteriori informazioni su NitroTPM, consulta Nitro TPM nella Amazon EC2 User Guide.
Aggiornamenti di revoca
Potrebbe essere necessario che Amazon Linux distribuisca una nuova versione del bootloader grub2 o del kernel Linux firmata con chiavi aggiornate. In tal caso, potrebbe essere necessario revocare la vecchia chiave per evitare la possibilità che bug sfruttabili delle versioni precedenti del bootloader aggirino il processo di verifica di Secure Boot. UEFI
Gli aggiornamenti dei pacchetti ai kernel pacchetti grub2 or aggiornano sempre automaticamente l'elenco delle revoche nell'archivio UEFI variabile dell'istanza in esecuzione. Ciò significa che con UEFI Secure Boot abilitato, non è più possibile eseguire la vecchia versione di un pacchetto dopo aver installato un aggiornamento di sicurezza per il pacchetto.
Come funziona UEFI Secure Boot su AL2 023
A differenza di altre distribuzioni Linux, Amazon Linux non fornisce un componente aggiuntivo, chiamato shim, che funge da bootloader di prima fase. Lo shim è generalmente firmato con chiavi Microsoft. Ad esempio, nelle distribuzioni Linux con shim, lo shim carica il bootloader grub2 che usa il codice dello shim per verificare il kernel Linux. Inoltre, lo shim mantiene il proprio set di chiavi e revoche nel database Machine Owner Key (MOK) situato nell'archivio delle UEFI variabili e controllato con lo strumento. mokutil
Amazon Linux non fornisce uno shim. Poiché il AMI proprietario controlla le UEFI variabili, questo passaggio intermedio non è necessario e influirebbe negativamente sui tempi di avvio e avvio. Inoltre, per impostazione predefinita, abbiamo scelto di non includere l'attendibilità nelle chiavi di tutti i fornitori, per ridurre la possibilità che i file binari indesiderati possano essere eseguiti. Come sempre, i clienti possono includere file binari se lo desiderano.
Con Amazon Linux, carica e verifica UEFI direttamente il nostro grub2 bootloader. Il grub2 bootloader è stato modificato per essere utilizzato per UEFI verificare il kernel Linux dopo averlo caricato. Pertanto, il kernel Linux viene verificato utilizzando gli stessi certificati memorizzati nella UEFI db variabile normale (database delle chiavi autorizzate) e testato rispetto alla stessa dbx variabile (database delle revoche) del bootloader e di altri binari. UEFI Poiché forniamo il nostro PK e KEK le nostre chiavi, che controllano l'accesso al database db e al database dbx, possiamo distribuire gli aggiornamenti e le revoche firmati secondo necessità senza un intermediario come lo shim.
Per ulteriori informazioni su UEFI Secure Boot, consulta How UEFI Secure Boot works nella Amazon EC2 User Guide.
Registrazione di chiavi personalizzate
Come documentato nella sezione precedente, Amazon Linux non richiede un shim UEFI Secure Boot su AmazonEC2. Quando leggi la documentazione per altre distribuzioni Linux, potresti trovare documentazione per la gestione del database Machine Owner Key (MOK)mokutil, che non è presente su AL2 023. MOKGli ambienti shim and aggirano alcune limitazioni della registrazione delle chiavi nel UEFI firmware che non sono applicabili al modo in cui Amazon EC2 UEFI implementa Secure Boot. Con Amazon EC2 esistono meccanismi per manipolare facilmente e direttamente le chiavi nell'archivio delle UEFI variabili.
Se desideri registrare le tue chiavi, puoi farlo manipolando l'archivio delle variabili all'interno di un'istanza esistente (consulta Aggiunta delle chiavi all'archivio delle variabili dall'interno dell'istanza) o creando un blob binario precompilato (consulta Creazione di un blob binario contenente un archivio delle variabili preriempito).
