Megjegyzés
- Eredeti közzétételi dátum: 2026. június 12.
- Tudásbáziscikk azonosítója: 5103014
Megjegyzés
- A következőkre vonatkozik:
- Azure Trusted Launch virtuális gépek és Linux rendszert futtató bizalmas Virtual Machines engedélyezett biztonságos rendszerindítással
- A megbízható indításhoz támogatott operációs rendszerek teljes listáját a következő hivatkozáson találja: Megbízható indítás Azure virtuális gépekhez – Azure Virtual Machines | Microsoft Learn
- A bizalmas virtuális gépek támogatott operációs rendszereinek teljes listáját a következő hivatkozáson találja: Tudnivalók a bizalmas Azure virtuális gépekről | Microsoft Learn
Tartalom
Bevezetés
A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkciója, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak a virtuális gép rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni.
A biztonságos rendszerindítás védelmének és a korai rendszerindítási folyamat folyamatos karbantartásának fenntartása érdekében a Linux rendszerű Azure Trusted Launchot Secure Boot 2023 DB- és KEK-tanúsítványokkal kell frissíteni a virtuális UEFI belső vezérlőprogramban. Confidential Virtual Machines for Linux régi tanúsítványokkal az Azure-ban újra létre kell hozni.
Ha egy virtuális gép a lejárat után továbbra is a 2011-es tanúsítványokra támaszkodik, továbbra is a rendszerindítás folytatódik. A továbbiakban azonban nem kap új biztonsági védelmet segédkódfrissítések, jövőbeli tanúsítványok és visszavonások formájában. A frissített tanúsítványokkal nem rendelkező virtuális gépekkel rendelkező ügyfeleknek továbbra is együtt kell működniük a disztribúció szállítóival a tanúsítványok frissítése érdekében, még a lejárati dátum után is.
Azonosítsa az intézkedést igénylő eseteket
Az alábbi forgatókönyvek áttekintésével állapítsa meg, hogy kell-e valamilyen műveletet végrehajtani:
- A 2024 áprilisa előtt létrehozott Linux megbízható indítású virtuális gépek (TVM) vagy bizalmas virtuális gépek (CVM)
- Azure Compute Gallery régebbi (2024 áprilisa előtti) Linux megbízható indítású vagy bizalmas virtuális gépekről rögzített rendszerképek
- Pillanatképek vagy biztonsági másolatok a Linux megbízható indításáról vagy a 2024 áprilisa előtt létrehozott bizalmas virtuális gépekről
- Blobokból 2024 április előtt létrehozott, biztonságos lemezként importált bizalmas virtuális gépek.
A 2024 áprilisa után létrehozott megbízható indítás és bizalmas Virtual Machines általában már tartalmaznak Secure Boot 2023-tanúsítványokat a virtuális UEFI belső vezérlőprogramban.
Megjegyzés
A 2024 áprilisa előtt létrehozott Linux bizalmas virtuális gépeket nem szabad manuálisan frissíteni, mivel a Bizalmas lemeztitkosítás a vTPM PCR7-értékére támaszkodik, amelyet a rendszer a biztonságos rendszerindítási változók alapján számít ki. Ha a biztonságos rendszerindítási tanúsítványokat az FDE-kulcs újbóli lezárásának biztosítása nélkül frissíti, a bizalmas virtuális gép helyreállítási módba lép. Javasoljuk, hogy az új tanúsítványok lekéréséhez hozza létre újra az ilyen régi bizalmas virtuális gépeket.
Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok
Az Azure rendszerű virtuális gépeken futó Linux biztonságos rendszerindítási frissítései két összetevőből állnak:
- Biztonságos rendszerindítási tanúsítványok a virtuális belső vezérlőprogramban (manuálisan telepíthetők az operációs rendszer által biztosított eszközökkel vagy automatikusan a biztonsági frissítéseken keresztül)
- Linux segédkód és rendszerbetöltő frissítések (disztribúciós szállító által kezelt)
A frissítési műveleteket a rendszer a vendég operációs rendszerből kezdeményezi, és a platform támogatására támaszkodva alkalmaznak hitelesített frissítéseket a biztonságos rendszerindítási változókra.
Az alkalmazható forgatókönyvek azonosítása után leltárba kell helyeznie a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítést.
Beavatkozás szükséges
Minden Azure-beli vendég virtuális gép esetén:
- Ellenőrizze, hogy a Secure Boot 2023 tanúsítványok megtalálhatók-e a virtuális UEFI belső vezérlőprogramban
Ellenőrzési módszerek
Futtassa ezeket a parancsokat a frissítés és az újraindítás után. Sikeresen frissített virtuális gépeken minden parancs egy egyező sort ad vissza. Ha egy parancs nem ad vissza kimenetet, a megfelelő 2023-as tanúsítvány nem található, és a frissítést nem alkalmazta – alkalmazása előtt ellenőrizze újra a frissítési lépéseket.
Mind a DB, mind a KEK ellenőrzéseknek vissza kell adniuk egy sort. A sikeresen frissített gép a 2023-as adatbázis-tanúsítványt és a 2023-as KEK tanúsítványt jeleníti meg.
A mokutil használata
Megjegyzés
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Az efitools használata
Megjegyzés
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Megjegyzés
- Ha a 'mokutil' nincs telepítve, telepítse a disztribúció standard tárházából, vagy használja helyette a '' karakterláncotefi-readvar -v db` / `efi-readvar -v KEK.
- Bizalmas virtuális gépek esetén ne futtasson manuális frissítést e kimenet alapján – hozza létre újra a virtuális gépet az Azure bizalmas virtuális gépekre vonatkozó javaslataiban leírtak szerint.
Linux rendszerindítási lánc frissítése
A sikeres firmware-frissítés után biztonságosan alkalmazhatja a Linux disztribúciós gyártók segédkód-frissítéseit.
Egyéb szempontok az Azure-erőforrásokkal kapcsolatban
| Azure-erőforrás | 2024 áprilisa előtt létrehozott | A TVM-hez szükséges beavatkozás | A CVM-hez szükséges művelet |
|---|---|---|---|
| Biztonsági mentés/pillanatfelvétel | Igen | VM indítása, frissítések alkalmazása, újbóli rögzítés | A CVM újbóli létrehozása és ismételt rögzítés |
| Biztonsági mentés/pillanatfelvétel | Nem | Nincs teendője | Nincs teendője |
| Számítási galéria képe | Igen | Telepítés, frissítés, újbóli rögzítés | A CVM újbóli létrehozása és ismételt rögzítés |
| Számítási galéria képe | Nem | Nincs teendője | Nincs teendője |
Frissítési állapot figyelése
Ellenőrizze a frissítéseket a vendég operációs rendszeren keresztül:
- Sikeres rendszerindítás ellenőrzése frissítések után
- Ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok megtalálhatók-e a belső vezérlőprogramban
A monitorozási és érvényesítési megközelítések a Linux disztribúciótól függően eltérőek lehetnek, és forduljon a disztribúció szállítójához.
Megbízható indítású virtuális gépek esetén:
A frissítéseket a helyes sorrendben kell alkalmazni.
Fontos
Mindig frissítse a biztonságos rendszerindítási firmware-t (UEFI-változókat) a segédkód vagy a rendszerbetöltő frissítése előtt.
Javasoljuk, hogy először indítsa újra a virtuális gépet, hogy megbizonyosodjon arról, hogy a legújabb belső vezérlőprogram fut-e, és ellenőrizze a sikeres rendszerindítást.
Indítsa el a frissítéseket a Linux vendég virtuálisgép-operációs rendszerből, ha azt a disztribúció szállítója által ajánlott útmutatás és eszközök előírják.
Ha KEK vagy DB frissítési hibákba ütközik, és először nem indította újra a rendszert, indítsa újra a virtuális gépet, és győződjön meg arról, hogy a legújabb belső vezérlőprogramot futtatja, és próbálja meg újból frissíteni a KEKET és az adatbázist.
Ha a belső vezérlőprogram frissítése előtt frissíti a segédkódot, az rendszerindítási hibához vezethet.
Bizalmas virtuális gépek esetén:
- A legtöbb bizalmas virtuális gép már rendelkezik az új tanúsítványokkal. A Secure Boot 2023-as tanúsítványokkal nem rendelkező bizalmas virtuális gépek esetében kövesse az alábbi szakaszt: Az Azure javaslatai bizalmas virtuális gépekhez.
Frissítések telepítése
Az Azure virtuális gépeken futó Linux biztonságos rendszerindítási tanúsítványának frissítései a vendég operációs rendszerből kezdeményezhetők. Ezek a frissítések disztribúciónként eltérnek, és az ügyfeleknek először a disztribúció szállítójánál kell érdeklődniük a javasolt módszerről.
Megjegyzés
- Itt csak azok a Linux operációs rendszer gyártói szerepelnek, amelyek közzétették a biztonságos rendszerindítási tanúsítvány frissítési útmutatóját. Ez a lista folyamatosan frissül, ahogy további szállítók teszik közzé útmutatóikat.
- Ha a disztribúció szállítója nem szerepel a listán, az nem jelenti azt, hogy a virtuális gép nem érintett – ez azt jelenti, hogy a szállító még nem tette közzé a biztonságos rendszerindítás 2023 KEK és DB frissítési útmutatóját. Ebben az esetben forduljon a forgalmazó szállítójához az ajánlott módszerért, vagy használja az alábbiakban ismertetett manuális alternatív belsővezérlőprogram-frissítési módszerek egyikét.
Ajánlások a támogatott Linux operációsrendszer-gyártóktól:
- Azure Linux (CBL-Mariner) – Váltson a Azure Linux 3-as vagy újabb verzióra
- AlmaLinux – UEFI biztonságos rendszerindítás: Microsoft 2023 tanúsítványátmeneti wiki
- Debian - Biztonságos rendszerindítási CA változások wiki
- Red Hat (RHEL) – Hogyan lehet az fwupd használatával regisztrálni a Microsoft UEFI CA 2023 KB tanúsítványt
- Ubuntu – Microsoft UEFI CA rotáció Közösségi diskurzus
Az Azure javaslatai bizalmas virtuális gépekhez:
- A 2024 áprilisa előtt létrehozott CVM-ek száma nagyon alacsony. Ha a bizalmas virtuális gép azon kevesek egyike, amelyek nem rendelkeznek az új tanúsítványokkal, kövesse a lépéseket a CVM ismételt létrehozásához.
Alternatív belső vezérlőprogram-frissítési módszerek
Megjegyzés
Mielőtt közvetlenül az éles virtuális gépeken kipróbálná az UEFI változófrissítéseket, az ügyfelek az Azure gyors üzembe helyezési sablonjával szimulálhatják a Linux megbízható indítási virtuális gépét régebbi 2011-es UEFI CA-tanúsítványokkal.
Fontos
A jelen szakaszban ismertetett manuális belsővezérlőprogram-frissítési módszerek alternatívái a forgalmazó szállítója által ajánlott módszernek, és kölcsönösen kizárják azt. Használja az operációs rendszer gyártójának módszerét, amikor először elérhetővé válik (lásd a Linux operációs rendszer gyártóinak javaslatait). Az alábbi manuális módszereket csak akkor használja, ha a szállító nem tett közzé útmutatót, vagy ha a szállító kifejezetten erre utasítja. Ne alkalmazza a szállítói és a manuális módszert ugyanarra a virtuális gépre. A frissítésekhez csak egy alternatív módszert kell használnia (fwupd, efitools vagy sbsigntools) – nem szükséges mindhármat futtatni. Minden Linux disztribúció különböző eszközöket és verziókat, valamint különböző tárolókon keresztül csomagol, ezért fontos, hogy kövesse a Linux operációs rendszer utasításait.
Megjegyzés
Az eszközök elérhetősége és verziói eloszlástól és eszközforrástól függően eltérnek.
1. alternatíva: Az fwupd használata
Győződjön meg arról, hogy a virtuális gépen az fwupd 2.0.8-as vagy újabb verziója van telepítve.
A KEK és az DB frissítéséhez futtassa ezeket a parancsokat az fwupdmgr paranccsal:
Megjegyzés
- sudo fwupdmgr refresh
- sudo fwupdmgr update
2. alternatíva: efitools használata
DB- és KEK-frissítési csomagok letöltése az Azure-hoz.
Megjegyzés
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Ellenőrizze a letöltött bináris fájlok MD5 vagy SHA1 adatait – pontosan a következőknek kell egyezniük:
Megjegyzés
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Használja az efi-updatevar parancsot a frissítőcsomagok telepítéséhez
Megjegyzés
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
3. alternatíva: Az sbsigntools használata
Töltse le és ellenőrizze DBUpdate3P2023.bin a KEKUpdate_Microsoft_PK1.bin fenti "2. alternatíva: Az efitools használata" című részben leírtak szerint.
Használja az sbsigntools sbkeysync segédprogramját a frissítőcsomagok telepítéséhez:
Megjegyzés
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Rendszerindítási hibák kockázatcsökkentő lépései
Meghibásodás esetén, például az UEFI változó frissítése utáni rendszerindítási hiba esetén, az alábbi módszerek egyikével állíthatja vissza az UEFI-beállításokat:
- Állítsa vissza a manuális frissítési folyamat megkezdése előtt készített biztonsági másolatot.
- A megbízható indítású VM konvertálása standard virtuális géppé, és a megbízható indítás biztonsági típusának újbóli alkalmazása a virtuális gépen. (További részletek itt: Megbízható indítás engedélyezése meglévő 2. generációs virtuális gépeken – Azure Virtual Machines | Microsoft Learn)
- Exportálja az operációs rendszer virtuális merevlemezét egy tárfiókba, hozzon létre egy galérialemezképet a virtuális merevlemezről, és telepítse a virtuális gépet a galériarendszerkép verziójával.
Harmadik felektől származó információkra vonatkozó jogi nyilatkozat
A jelen cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek készítik. Nem vállalunk sem kifejezett, sem más jellegű jótállást e termékek megbízhatóságára és működésére vonatkozóan.
Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| 2026. július 29. | Főbb módosítások, amelyek egyértelműbbé teszik a szükséges műveleteket, és alternatív belső vezérlőprogram-frissítési módszereket. |
| Június 18, 2026 | Referencia linkeket adtunk hozzá a "Javaslatok a Linux operációs rendszer gyártóitól" szakaszhoz. |