Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AL2023 mendukung UEFI Secure Boot dimulai dengan rilis 2023.1. Anda harus menggunakan AL2 023 dengan EC2 instans Amazon yang mendukung UEFI dan UEFI Secure Boot. Untuk informasi selengkapnya, lihat Persyaratan untuk meluncurkan EC2 instans Amazon dalam mode boot UEFI di EC2 Panduan Pengguna Amazon.
AL2023 instance dengan UEFI Secure Boot diaktifkan hanya menerima kode tingkat kernel, termasuk kernel Linux serta modul, yang ditandatangani oleh Amazon sehingga Anda dapat memastikan bahwa instance Anda hanya menjalankan kode level kernel yang ditandatangani oleh AWS.
Untuk informasi selengkapnya tentang EC2 instans Amazon dan Boot Aman UEFI, lihat Boot Aman UEFI untuk instans Amazon Amazon EC2 di Panduan Pengguna Amazon. EC2
Prasyarat
-
Anda harus menggunakan AMI dengan rilis AL2 023 2023.1 atau lebih tinggi.
-
Jenis instans harus mendukung UEFI Secure Boot. Untuk informasi selengkapnya, lihat Persyaratan untuk meluncurkan EC2 instans Amazon dalam mode boot UEFI di EC2 Panduan Pengguna Amazon.
Aktifkan Boot Aman UEFI pada 023 AL2
Standar AL2 023 AMIs menggabungkan bootloader dan kernel yang ditandatangani oleh kunci kami. Anda dapat mengaktifkan Boot Aman UEFI baik dengan mendaftarkan instance yang ada atau membuat AMIs dengan UEFI Secure Boot yang telah diaktifkan sebelumnya dengan mendaftarkan gambar dari snapshot. Boot Aman UEFI tidak diaktifkan secara default pada standar AL2 023. AMIs
Mode boot AL2 023 AMIs diatur untuk memastikan bahwa instance uefi-preferred yang diluncurkan dengan ini AMIs akan menggunakan firmware UEFI, jika jenis instans mendukung UEFI. Jika jenis instans tidak mendukung UEFI, instance diluncurkan dengan firmware Legacy BIOS. Ketika sebuah instance diluncurkan dalam mode Legacy BIOS, UEFI Secure Boot tidak diberlakukan.
Untuk informasi selengkapnya tentang mode boot AMI di EC2 instans Amazon, lihat Perilaku peluncuran instans dengan mode EC2 boot Amazon Amazon di Panduan EC2 Pengguna Amazon.
Topik
Pendaftaran instance yang ada
Untuk mendaftarkan instance yang ada, isi variabel firmware UEFI tertentu dengan satu set kunci yang memungkinkan firmware memverifikasi bootloader dan bootloader untuk memverifikasi kernel pada boot berikutnya.
-
Amazon Linux menyediakan alat untuk menyederhanakan proses pendaftaran. Jalankan perintah berikut untuk menyediakan instance dengan set kunci dan sertifikat yang diperlukan.
sudo amazon-linux-sb enroll -
Jalankan perintah berikut untuk me-reboot instance. Setelah instance di-boot ulang, UEFI Secure Boot akan diaktifkan.
sudo reboot
catatan
Amazon Linux AMIs saat ini tidak mendukung Nitro Trusted Platform Module (NitroTPM). Jika Anda membutuhkan NitrotPM selain UEFI Secure Boot, gunakan informasi di bagian berikut.
Daftarkan gambar dari snapshot
Saat mendaftarkan AMI dari snapshot volume root Amazon EBS menggunakan Amazon EC2 register-image API, Anda dapat menyediakan AMI dengan gumpalan biner yang berisi status penyimpanan variabel UEFI. Dengan menyediakan AL2 023UefiData, Anda mengaktifkan UEFI Secure Boot dan tidak perlu mengikuti langkah-langkah di bagian sebelumnya.
Untuk informasi selengkapnya tentang membuat dan menggunakan gumpalan biner, lihat Membuat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya di Panduan Pengguna Amazon EC2 .
AL2023 menyediakan gumpalan biner pra-bangun yang dapat digunakan langsung di instans Amazon. EC2 Gumpalan biner terletak di /usr/share/amazon-linux-sb-keys/uefi.vars pada instance yang sedang berjalan. Gumpalan ini disediakan oleh paket amazon-linux-sb-keys RPM yang diinstal secara default pada AL2 023 AMIs dimulai dengan rilis 2023.1.
catatan
Untuk memastikan bahwa Anda menggunakan kunci dan pencabutan versi terbaru, gunakan gumpalan dari rilis AL2 023 yang sama yang Anda gunakan untuk membuat AMI.
Saat mendaftarkan gambar, sebaiknya gunakan BootMode parameter RegisterImageAPI yang disetel keuefi. Ini memungkinkan Anda untuk mengaktifkan NitroTPM dengan mengatur TpmSupport parameter ke. v2.0 Selain itu, pengaturan BootMode untuk uefi memastikan bahwa UEFI Secure Boot diaktifkan dan tidak dapat dinonaktifkan secara tidak sengaja saat beralih ke jenis instans yang tidak mendukung UEFI.
Untuk informasi selengkapnya tentang NitroTPM, lihat instans NitroTPM untuk Amazon EC2 Amazon di Panduan Pengguna Amazon. EC2
Pembaruan pencabutan
Mungkin perlu bagi Amazon Linux untuk mendistribusikan versi baru bootloader grub2 atau kernel Linux yang ditandatangani dengan kunci yang diperbarui. Dalam hal ini, kunci lama mungkin perlu dicabut untuk mencegah kemungkinan mengizinkan bug yang dapat dieksploitasi dari versi bootloader sebelumnya untuk melewati proses verifikasi Boot Aman UEFI.
Package update ke grub2 or kernel packages selalu secara otomatis memperbarui daftar pencabutan ke dalam penyimpanan variabel UEFI dari instance yang sedang berjalan. Ini berarti bahwa dengan UEFI Secure Boot diaktifkan, Anda tidak dapat lagi menjalankan versi lama paket setelah menginstal pembaruan keamanan untuk paket tersebut.
Cara kerja UEFI Secure Boot pada 023 AL2
Tidak seperti distribusi Linux lainnya, Amazon Linux tidak menyediakan komponen tambahan, yang disebut shim, untuk bertindak sebagai bootloader tahap pertama. Shim umumnya ditandatangani dengan kunci Microsoft. Misalnya, pada distribusi Linux dengan shim, shim memuat grub2 bootloader yang menggunakan kode shim sendiri untuk memverifikasi kernel Linux. Selain itu, shim mempertahankan set kunci dan pencabutan sendiri dalam database Machine Owner Key (MOK) yang terletak di penyimpanan variabel UEFI dan dikontrol dengan alat. mokutil
Amazon Linux tidak menyediakan shim. Karena pemilik AMI mengontrol variabel UEFI, langkah perantara ini tidak diperlukan dan akan berdampak buruk pada waktu peluncuran dan boot. Selain itu, kami memilih untuk tidak menyertakan kepercayaan ke kunci vendor mana pun secara default, untuk mengurangi kemungkinan binari yang tidak diinginkan dapat dieksekusi. Seperti biasa, pelanggan dapat menyertakan binari jika mereka memilih untuk melakukannya.
Dengan Amazon Linux, UEFI langsung memuat dan memverifikasi bootloader kami. grub2 grub2Bootloader dimodifikasi untuk menggunakan UEFI untuk memverifikasi kernel Linux setelah memuatnya. Dengan demikian, Kernel Linux diverifikasi menggunakan sertifikat yang sama yang disimpan dalam db variabel UEFI normal (database kunci resmi) dan diuji terhadap dbx variabel yang sama (database pencabutan) seperti bootloader dan binari UEFI lainnya. Karena kami menyediakan kunci PK dan KEK kami sendiri, yang mengontrol akses ke database db dan database dbx, kami dapat mendistribusikan pembaruan dan pencabutan yang ditandatangani sesuai kebutuhan tanpa perantara seperti shim.
Untuk informasi selengkapnya tentang Boot Aman UEFI, lihat Cara Kerja Boot Aman UEFI dengan EC2 instans Amazon Amazon di Panduan Pengguna Amazon. EC2
Mendaftarkan kunci Anda sendiri
Seperti yang didokumentasikan di bagian sebelumnya, Amazon Linux tidak memerlukan shim untuk UEFI Secure Boot di Amazon. EC2 Ketika Anda membaca dokumentasi untuk distribusi Linux lainnya, Anda mungkin menemukan dokumentasi untuk mengelola database Machine Owner Key (MOK) menggunakanmokutil, yang tidak ada pada AL2 023. Lingkungan shim dan MOK bekerja di sekitar beberapa batasan pendaftaran kunci di Firmware UEFI yang tidak berlaku untuk cara Amazon EC2 mengimplementasikan Boot Aman UEFI. Dengan Amazon EC2 ada mekanisme untuk dengan mudah memanipulasi kunci di toko variabel UEFI.
Jika Anda ingin mendaftarkan kunci Anda sendiri, Anda dapat melakukannya baik dengan memanipulasi penyimpanan variabel dalam instance yang ada (lihat Tambahkan kunci ke penyimpanan variabel dari dalam instance) atau dengan membuat gumpalan biner yang telah diisi sebelumnya (lihat Buat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya).
