As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Inicialização segura UEFI em 023 AL2
AL2023 suporta UEFI Secure Boot a partir da versão 2023.1. Você deve usar AL2 023 com EC2 instâncias da Amazon que suportam UEFI e UEFI Secure Boot. Para obter mais informações, consulte Iniciar uma instância no Guia EC2 do usuário da Amazon.
AL2As instâncias 023 com o UEFI Secure Boot habilitado aceitam somente o código no nível do kernel, incluindo o kernel Linux, bem como os módulos, que são assinados por Amazon para que você possa garantir que sua instância execute apenas códigos no nível do kernel assinados por AWS.
Para obter mais informações sobre EC2 instâncias da Amazon e UEFI Secure Boot, consulte UEFI Secure Boot no Guia EC2 do usuário da Amazon.
Pré-requisitos
-
Você deve estar usando uma AMI com a versão AL2 023 2023.1 ou superior.
-
O tipo de instância deve permitir a inicialização segura do UEFI. Para obter mais informações, consulte Iniciar uma instância no Guia EC2 do usuário da Amazon.
Ative a inicialização segura UEFI em 023 AL2
O padrão AL2 023 AMIs incorpora um bootloader e um kernel assinado por nossas chaves. Você pode ativar o UEFI Secure Boot inscrevendo instâncias existentes ou criando AMIs com o UEFI Secure Boot pré-ativado registrando uma imagem de um snapshot. O UEFI Secure Boot não está habilitado por padrão no padrão AL2 AMIs 023.
O modo de inicialização de AL2 023 AMIs é definido para garantir uefi-preferred
que as instâncias executadas com elas AMIs usem o firmware UEFI, se o tipo de instância for compatível com UEFI. Se o tipo de instância não for compatível com UEFI, a instância será iniciada com firmware de BIOS antigo. Quando uma instância é executada no modo BIOS antigo, o UEFI Secure Boot não é aplicado.
Para obter mais informações sobre os modos de inicialização da AMI nas EC2 instâncias da Amazon, consulte Modos de inicialização no Guia EC2 do usuário da Amazon.
Tópicos
Inscrição de uma instância existente
Para registrar uma instância existente, preencha as variáveis específicas do firmware UEFI com um conjunto de chaves que permitem que o firmware verifique o carregador de inicialização e o carregador de inicialização verifique o kernel na próxima inicialização.
-
O Amazon Linux fornece uma ferramenta para simplificar o processo de inscrição. Execute o comando a seguir para provisionar a instância com o conjunto necessário de chaves e certificados.
sudo amazon-linux-sb enroll
-
Execute o seguinte comando para reiniciar a instância do . Depois que a instância for reinicializada, o UEFI Secure Boot será ativado.
sudo reboot
nota
AMIs No momento, o Amazon Linux não oferece suporte ao Nitro Trusted Platform Module (NitroTPM). Se você precisar do NitroTPM além do UEFI Secure Boot, use as informações na seção a seguir.
Registrar imagem do instantâneo
Ao registrar uma AMI a partir de um snapshot de um volume raiz do Amazon EBS usando a EC2 register-image
API da Amazon, você pode provisionar a AMI com um blob binário que contém o estado do armazenamento de variáveis UEFI. Ao fornecer o AL2 023UefiData
, você ativa o UEFI Secure Boot e não precisa seguir as etapas na seção anterior.
Para obter mais informações sobre como criar e usar um blob binário, consulte Opção B: Criar um blob binário contendo um armazenamento de variáveis pré-preenchido no Amazon EC2 User Guide.
AL2O 023 fornece um blob binário pré-criado que pode ser usado diretamente nas instâncias da Amazon. EC2 O blob binário está localizado em /usr/share/amazon-linux-sb-keys/uefi.vars
em uma instância em execução. Esse blob é fornecido pelo pacote amazon-linux-sb-keys
RPM, que é instalado por padrão em AL2 023 a AMIs partir da versão 2023.1.
nota
Para garantir que você esteja usando a versão mais recente das chaves e revogações, use o blob da mesma versão de AL2 023 que você usa para criar a AMI.
Ao registrar uma imagem, recomendamos usar o parâmetro BootMode
da API RegisterImage
definida como uefi
. Isso permite que você ative o NitroTPM definindo o parâmetro TpmSupport
como v2.0
. Além disso, definir BootMode
para uefi
garantir que o UEFI Secure Boot esteja habilitado e não possa ser desativado acidentalmente ao mudar para um tipo de instância que não seja compatível com UEFI.
Para obter mais informações sobre o NitroTPM, consulte NitroTPM no Guia do Usuário da Amazon. EC2
Atualizações de revogação
Talvez seja necessário que o Amazon Linux distribua uma nova versão do bootloader grub2
ou do kernel Linux assinado com chaves atualizadas. Nesse caso, talvez seja necessário revogar a chave antiga para evitar a chance de permitir que bugs exploráveis de versões anteriores do bootloader ignorem o processo de verificação do UEFI Secure Boot.
As atualizações de pacotes do grub2
ou kernel
sempre atualizam automaticamente a lista de revogações no armazenamento de variáveis UEFI da instância em execução. Isso significa que, com o UEFI Secure Boot ativado, você não pode mais executar a versão antiga de um pacote depois de instalar uma atualização de segurança para o pacote.
Como o UEFI Secure Boot funciona em 023 AL2
Ao contrário de outras distribuições Linux, o Amazon Linux não fornece um componente adicional, chamado shim, para atuar como o bootloader de primeiro estágio. O calço geralmente é assinado com chaves da Microsoft. Por exemplo, em distribuições Linux com o shim, o shim carrega o bootloader grub2
que usa o próprio código do shim para verificar o kernel Linux. Além disso, o shim mantém seu próprio conjunto de chaves e revogações no banco de dados da Machine Owner Key (MOK) localizado no armazenamento de variáveis UEFI e controlado com a ferramenta mokutil
.
O Amazon Linux não oferece nada. Como o proprietário da AMI controla as variáveis da UEFI, essa etapa intermediária não é necessária e afetaria negativamente os tempos de lançamento e inicialização. Além disso, optamos por não incluir a confiança em nenhuma chave de fornecedor por padrão, para reduzir a chance de binários indesejados serem executados. Como sempre, os clientes podem incluir binários se quiserem fazer isso.
Com o Amazon Linux, o UEFI carrega e verifica diretamente nosso grub2
bootloader. O bootloader grub2
foi modificado para usar UEFI para verificar o kernel Linux após carregá-lo. Assim, o Kernel Linux é verificado usando os mesmos certificados armazenados na variável UEFI normal db
(banco de dados de chaves autorizado) e testado com a mesma variável dbx
(banco de dados de revogações) do bootloader e outros binários UEFI. Como fornecemos nossas próprias chaves PK e KEK, que controlam o acesso ao banco de dados db e ao banco de dados dbx, podemos distribuir atualizações e revogações assinadas conforme necessário, sem um intermediário como o shim.
Para obter mais informações sobre o UEFI Secure Boot, consulte Como funciona o UEFI Secure Boot no Guia EC2 do usuário da Amazon.
Inscrevendo suas próprias chaves
Conforme documentado na seção anterior, o Amazon Linux não exige uma inicialização segura shim
para UEFI na Amazon EC2. Ao ler a documentação de outras distribuições Linux, você pode encontrar documentação para gerenciar o banco de dados Machine Owner Key (MOK) usandomokutil
, que não está presente em AL2 023. Os ambientes shim
e MOK contornam algumas limitações de registro de chaves no firmware UEFI que não são aplicáveis à forma como a Amazon EC2 implementa o UEFI Secure Boot. Com a Amazon, EC2 existem mecanismos para manipular facilmente as chaves no armazenamento de variáveis UEFI.
Se quiser inscrever suas próprias chaves, você pode manipular o armazenamento de variáveis em uma instância existente (consulte Adicionar chaves ao armazenamento de variáveis de dentro da instância) ou criar um blob binário pré-preenchido (consulte Criar um blob binário contendo um armazenamento de variáveis pré-preenchido).