UEFIDémarrage sécurisé sur AL2 023 - Amazon Linux 2023

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

UEFIDémarrage sécurisé sur AL2 023

AL2023 prend en charge le démarrage UEFI sécurisé à partir de la version 2023.1. Vous devez utiliser AL2 023 avec des EC2 instances Amazon qui prennent en charge à la fois UEFI le démarrage UEFI sécurisé. Pour plus d'informations, consultez Lancer une instance dans le guide de EC2 l'utilisateur Amazon.

AL2Les instances 023 pour lesquelles le démarrage UEFI sécurisé est activé n'acceptent que le code au niveau du noyau, y compris le noyau Linux ainsi que les modules, qui sont signés par. Vous pouvez Amazon donc vous assurer que votre instance n'exécute que des codes au niveau du noyau signés par AWS.

Pour plus d'informations sur EC2 les instances Amazon et UEFI Secure Boot, consultez UEFISecure Boot dans le guide de EC2 l'utilisateur Amazon.

Prérequis
  • Vous devez utiliser une version 2023.1 ou supérieure AMI avec AL2 023.

  • Le type d'instance doit prendre en charge le démarrage UEFI sécurisé. Pour plus d'informations, consultez Lancer une instance dans le guide de EC2 l'utilisateur Amazon.

Activer le démarrage UEFI sécurisé sur AL2 023

La norme AL2 023 AMIs intègre un bootloader et un noyau signé par nos clés. Vous pouvez activer UEFI Secure Boot soit en inscrivant des instances existantes, soit en les créant AMIs avec UEFI Secure Boot préactivé en enregistrant une image à partir d'un instantané. UEFILe démarrage sécurisé n'est pas activé par défaut sur le AL2 023 AMIs standard.

Le mode de démarrage AL2 023 AMIs est défini sur uefi-preferred ce qui garantit que les instances lancées avec ces derniers AMIs utiliseront le UEFI microprogramme, si le type d'instance le permetUEFI. Si le type d'instance n'est pas compatibleUEFI, l'instance est lancée avec le BIOS microprogramme Legacy. Lorsqu'une instance est lancée en BIOS mode Legacy, le démarrage UEFI sécurisé n'est pas appliqué.

Pour plus d'informations sur les modes de AMI démarrage sur les EC2 instances Amazon, consultez la section Modes de démarrage du guide de EC2 l'utilisateur Amazon.

Inscription d'une instance existante

Pour inscrire une instance existante, renseignez les variables spécifiques du UEFI microprogramme avec un jeu de clés permettant au microprogramme de vérifier le chargeur de démarrage et au chargeur de démarrage de vérifier le noyau lors du prochain démarrage.

  1. Amazon Linux fournit un outil pour simplifier le processus d'inscription. Exécutez la commande suivante pour mettre en service l'instance avec le jeu de clés et les certificats nécessaires.

    sudo amazon-linux-sb enroll
  2. Exécutez la commande suivante pour redémarrer l'instance. Après le redémarrage de l'instance, le démarrage UEFI sécurisé sera activé.

    sudo reboot
Note

Amazon Linux ne prend AMIs actuellement pas en charge le Nitro Trusted Platform Module (NitroTPM). Si vous avez besoin de Nitro TPM en plus du démarrage UEFI sécurisé, utilisez les informations de la section suivante.

Enregistrement d'une image à partir d'un instantané

Lorsque vous enregistrez un fichier AMI à partir d'un instantané d'un volume EBS racine Amazon à l'aide d'Amazon EC2 register-imageAPI, vous pouvez le provisionner AMI avec un blob binaire contenant l'état de la UEFI variable store. En fournissant le AL2 023UefiData, vous activez le démarrage UEFI sécurisé et vous n'avez pas besoin de suivre les étapes de la section précédente.

Pour plus d'informations sur la création et l'utilisation d'un blob binaire, consultez l'option B : créer un blob binaire contenant un magasin de variables prérempli dans le guide de l'utilisateur Amazon EC2.

AL2023 fournit un blob binaire prédéfini qui peut être utilisé directement sur les instances Amazon. EC2 Le blob binaire se trouve dans /usr/share/amazon-linux-sb-keys/uefi.vars sur une instance en cours d'exécution. Ce blob est fourni par le amazon-linux-sb-keys RPM package installé par défaut le AL2 023 à AMIs partir de la version 2023.1.

Note

Pour vous assurer que vous utilisez la dernière version des clés et des révocations, utilisez le blob de la même version de AL2 023 que celle que vous avez utilisée pour créer le. AMI

Lors de l'enregistrement d'une image, nous vous recommandons d'utiliser le BootMode paramètre RegisterImageAPIdéfini suruefi. Cela vous permet d'activer Nitro TPM en réglant le TpmSupport paramètre sur. v2.0 En outre, le réglage BootMode uefi garantit que le démarrage UEFI sécurisé est activé et ne peut pas être désactivé par accident lors du passage à un type d'instance non compatibleUEFI.

Pour plus d'informations sur NitroTPM, consultez Nitro TPM dans le guide de EC2l'utilisateur Amazon.

Mises à jour de révocation

Il est parfois nécessaire qu'Amazon Linux distribue une nouvelle version du chargeur de démarrage grub2 ou du noyau Linux signée avec des clés mises à jour. Dans ce cas, l'ancienne clé devra peut-être être révoquée pour éviter que des bogues exploitables provenant des versions précédentes du bootloader puissent contourner le processus de vérification du démarrage UEFI sécurisé.

Les mises à jour des kernel packages grub2 ou mettent toujours à jour automatiquement la liste des révocations dans le magasin de UEFI variables de l'instance en cours d'exécution. Cela signifie que lorsque le démarrage UEFI sécurisé est activé, vous ne pouvez plus exécuter l'ancienne version d'un package après avoir installé une mise à jour de sécurité pour le package.

Comment fonctionne UEFI Secure Boot sur AL2 023

Contrairement aux autres distributions Linux, Amazon Linux ne fournit pas de composant supplémentaire, appelé shim, servant de premier chargeur de démarrage. Le shim est généralement signé avec des clés Microsoft. Par exemple, sur les distributions Linux avec le shim, celui-ci charge le chargeur de démarrage grub2 qui utilise le propre code du shim pour vérifier le noyau Linux. En outre, la cale conserve son propre jeu de clés et de révocations dans la base de données Machine Owner Key (MOK) située dans le magasin de UEFI variables et contrôlée par l'outil. mokutil

Amazon Linux ne fournit pas de shim. Comme le AMI propriétaire contrôle les UEFI variables, cette étape intermédiaire n'est pas nécessaire et aurait une incidence négative sur les temps de lancement et de démarrage. Nous avons également choisi de ne pas inclure la confiance envers les clés des fournisseurs par défaut, afin de réduire le risque d'exécution de fichiers binaires indésirables. Comme toujours, les clients peuvent inclure des fichiers binaires s'ils le souhaitent.

Avec Amazon Linux, charge et vérifie UEFI directement notre grub2 bootloader. Le grub2 bootloader a été modifié pour être utilisé UEFI pour vérifier le noyau Linux après son chargement. Ainsi, le noyau Linux est vérifié à l'aide des mêmes certificats stockés dans la UEFI db variable normale (base de données de clés autorisées) et testé par rapport à la même dbx variable (base de données de révocations) que le bootloader et les autres binaires. UEFI Comme nous fournissons notre propre PK et nos propres KEK clés, qui contrôlent l'accès à la base de données de base de données et à la base de données dbx, nous pouvons distribuer des mises à jour et des révocations signées selon les besoins sans passer par un intermédiaire tel que le shim.

Pour plus d'informations sur le démarrage UEFI sécurisé, consultez le mode de fonctionnement du démarrage UEFI sécurisé dans le guide de EC2 l'utilisateur Amazon.

Inscription de vos propres clés

Comme indiqué dans la section précédente, Amazon Linux ne nécessite pas de shim démarrage UEFI sécurisé sur AmazonEC2. Lorsque vous lisez la documentation d'autres distributions Linux, vous trouverez peut-être de la documentation sur la gestion de la base de données Machine Owner Key (MOK)mokutil, qui n'est pas présente sur AL2 023. Les MOK environnements shim et contournent certaines limites relatives à l'inscription des clés dans le UEFI microprogramme qui ne s'appliquent pas à la manière dont Amazon EC2 implémente UEFI Secure Boot. Amazon propose EC2 des mécanismes permettant de manipuler facilement et directement les clés dans le magasin UEFI variable.

Si vous souhaitez inscrire vos propres clés, vous pouvez soit manipuler le magasin de variables au sein d'une instance existante (consultez Ajout de clés au magasin de variables depuis l'instance), soit construire un blob binaire prérempli (consultez Création d'un blob binaire contenant un magasin de variables prérempli).