Démarrage sécurisé UEFI sur 023 AL2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AL2023 prend en charge le démarrage sécurisé UEFI à partir de la version 2023.1. Vous devez utiliser AL2 023 avec les EC2 instances Amazon qui prennent en charge à la fois l'UEFI et le démarrage sécurisé UEFI. Pour plus d'informations, consultez la section Exigences relatives au lancement d'une EC2 instance Amazon en mode de démarrage UEFI dans le guide de EC2 l'utilisateur Amazon.

AL2023 instances avec le démarrage sécurisé UEFI activé acceptent uniquement le code au niveau du noyau, y compris le noyau Linux ainsi que les modules, signés par Amazon vous pouvez donc vous assurer que votre instance n'exécute que des codes au niveau du noyau signés par AWS.

Pour plus d'informations sur les EC2 instances Amazon et le démarrage sécurisé UEFI, consultez la section Démarrage sécurisé UEFI pour les instances Amazon Amazon EC2 dans le guide de l'utilisateur Amazon. EC2

Activer le démarrage sécurisé UEFI sur 023 AL2

La norme AL2 023 AMIs intègre un bootloader et un noyau signé par nos clés. Vous pouvez activer le démarrage sécurisé UEFI en inscrivant des instances existantes ou en les créant AMIs avec UEFI Secure Boot préactivé en enregistrant une image à partir d'un instantané. Le démarrage sécurisé UEFI n'est pas activé par défaut sur le 023 standard AL2. AMIs

Le mode de démarrage AL2 023 AMIs est uefi-preferred défini pour garantir que les instances lancées avec ces derniers AMIs utiliseront le microprogramme UEFI, si le type d'instance prend en charge l'UEFI. Si le type d'instance ne prend pas en charge UEFI, l'instance est lancée avec le microprogramme BIOS hérité. Lorsqu'une instance est lancée en mode BIOS hérité, UEFI Secure Boot n'est pas appliqué.

Pour plus d'informations sur les modes de démarrage AMI sur les EC2 instances Amazon, consultez la section Comportement de lancement des instances avec les modes de EC2 démarrage Amazon dans le guide de EC2 l'utilisateur Amazon.

Inscription d'une instance existante

Pour inscrire une instance existante, renseignez les variables de microprogramme UEFI spécifiques avec un jeu de clés qui permettent au microprogramme de vérifier le chargeur de démarrage et à ce dernier de vérifier le noyau lors du prochain démarrage.

Enregistrement d'une image à partir d'un instantané

Lorsque vous enregistrez une AMI à partir d'un instantané d'un volume racine Amazon EBS à l'aide de l' EC2 register-imageAPI Amazon, vous pouvez configurer l'AMI avec un blob binaire contenant l'état du magasin de variables UEFI. En fournissant le AL2 023UefiData, vous activez le démarrage sécurisé UEFI et vous n'avez pas besoin de suivre les étapes de la section précédente.

Pour plus d'informations sur la création et l'utilisation d'un blob binaire, consultez la section Créer un blob binaire contenant un magasin de variables prérempli dans le guide de l'utilisateur Amazon EC2 .

AL2023 fournit un blob binaire prédéfini qui peut être utilisé directement sur les instances Amazon. EC2 Le blob binaire se trouve dans /usr/share/amazon-linux-sb-keys/uefi.vars sur une instance en cours d'exécution. Ce blob est fourni par le package amazon-linux-sb-keys RPM qui est installé par défaut le AL2 023 à AMIs partir de la version 2023.1.

Lors de l'enregistrement d'une image, nous vous recommandons d'utiliser le paramètre BootMode de l'API RegisterImage défini sur uefi. Cela vous permet d'activer NitroTPM en définissant le paramètre TpmSupport sur v2.0. En outre, définir BootMode sur uefi garantit que UEFI Secure Boot est activé et ne peut pas être désactivé par accident lors du passage à un type d'instance qui ne prend pas en charge UEFI.

Pour plus d'informations sur NitroTPM, consultez NitroTPM pour les instances Amazon dans le EC2 guide de l'utilisateur Amazon EC2 .

Mises à jour de révocation

Il est parfois nécessaire qu'Amazon Linux distribue une nouvelle version du chargeur de démarrage grub2 ou du noyau Linux signée avec des clés mises à jour. Dans ce cas, il peut être nécessaire de révoquer l'ancienne clé pour éviter que des bogues exploitables provenant des versions précédentes du chargeur de démarrage ne contournent le processus de vérification d'UEFI Secure Boot.

Les mises à jour du package vers les packages grub2 ou kernel mettent toujours à jour automatiquement la liste des révocations dans le magasin de variables UEFI de l'instance en cours d'exécution. Cela signifie que quand UEFI Secure Boot est activé, vous ne pouvez plus exécuter l'ancienne version d'un package après avoir installé une mise à jour de sécurité pour le package.

Comment fonctionne le démarrage sécurisé UEFI sur 023 AL2

Contrairement aux autres distributions Linux, Amazon Linux ne fournit pas de composant supplémentaire, appelé shim, servant de premier chargeur de démarrage. Le shim est généralement signé avec des clés Microsoft. Par exemple, sur les distributions Linux avec le shim, celui-ci charge le chargeur de démarrage grub2 qui utilise le propre code du shim pour vérifier le noyau Linux. En outre, le shim conserve son propre jeu de clés et de révocations dans la base de données MOK (Machine Owner Key) située dans le magasin de variables UEFI et contrôlée par l'outil mokutil.

Amazon Linux ne fournit pas de shim. Étant donné que le propriétaire de l'AMI contrôle les variables UEFI, cette étape intermédiaire n'est pas nécessaire et aurait une incidence négative sur les temps de lancement et de démarrage. Nous avons également choisi de ne pas inclure la confiance envers les clés des fournisseurs par défaut, afin de réduire le risque d'exécution de fichiers binaires indésirables. Comme toujours, les clients peuvent inclure des fichiers binaires s'ils le souhaitent.

Avec Amazon Linux, UEFI charge et vérifie directement notre chargeur de démarrage grub2. Le chargeur de démarrage grub2 a été modifié pour utiliser UEFI afin de vérifier le noyau Linux après son chargement. Ainsi, le noyau Linux est vérifié à l'aide des mêmes certificats stockés dans la variable db UEFI normale (base de données de clés autorisées) et testé par rapport à la même variable dbx (base de données de révocations) que le chargeur de démarrage et les autres fichiers binaires UEFI. Étant donné que nous fournissons nos propres clés PK et KEK, qui contrôlent l'accès à la base de données db et à la base de données dbx, nous pouvons distribuer des mises à jour et des révocations signées selon les besoins sans passer par un intermédiaire comme le shim.

Pour plus d'informations sur le démarrage sécurisé UEFI, consultez la section Comment fonctionne le démarrage sécurisé UEFI avec les instances Amazon EC2 dans le guide de l'utilisateur Amazon. EC2

Inscription de vos propres clés

Comme indiqué dans la section précédente, Amazon Linux n'a pas besoin shim de démarrage sécurisé UEFI sur Amazon. EC2 Lorsque vous lisez la documentation d'autres distributions Linux, vous trouverez peut-être de la documentation sur la gestion de la base de données MOK (Machine Owner Key)mokutil, qui n'est pas présente sur AL2 023. Les shim environnements MOK contournent certaines limites relatives à l'inscription des clés dans le microprogramme UEFI qui ne s'appliquent pas à la manière dont Amazon EC2 implémente le démarrage sécurisé UEFI. Amazon propose des EC2 mécanismes permettant de manipuler facilement et directement les clés dans le magasin de variables UEFI.

Si vous souhaitez inscrire vos propres clés, vous pouvez le faire soit en manipulant le magasin de variables au sein d'une instance existante (voir Ajouter des clés au magasin de variables depuis l'instance), soit en créant un blob binaire prérempli (voir Création d'un blob binaire contenant un magasin de variables prérempli).