Biztonságos rendszerindítási tanúsítványfrissítések Linux rendszerhez Azure virtuális gépeken

Hatókör
Virtual Machine running Linux

Megjegyzés

  • Eredeti közzétételi dátum: 2026. június 12.
  • Tudásbáziscikk azonosítója: 5103014

Megjegyzés

Tartalom

Bevezetés

A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkciója, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak a virtuális gép rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni.

A biztonságos rendszerindítás védelmének és a korai rendszerindítási folyamat folyamatos karbantartásának fenntartása érdekében a Linux rendszerű Azure Trusted Launchot Secure Boot 2023 DB- és KEK-tanúsítványokkal kell frissíteni a virtuális UEFI belső vezérlőprogramban. Confidential Virtual Machines for Linux régi tanúsítványokkal az Azure-ban újra létre kell hozni.

Ha egy virtuális gép a lejárat után továbbra is a 2011-es tanúsítványokra támaszkodik, továbbra is a rendszerindítás folytatódik. A továbbiakban azonban nem kap új biztonsági védelmet segédkódfrissítések, jövőbeli tanúsítványok és visszavonások formájában. A frissített tanúsítványokkal nem rendelkező virtuális gépekkel rendelkező ügyfeleknek továbbra is együtt kell működniük a disztribúció szállítóival a tanúsítványok frissítése érdekében, még a lejárati dátum után is.

Azonosítsa az intézkedést igénylő eseteket

Az alábbi forgatókönyvek áttekintésével állapítsa meg, hogy kell-e valamilyen műveletet végrehajtani:

  • A 2024 áprilisa előtt létrehozott Linux megbízható indítású virtuális gépek (TVM) vagy bizalmas virtuális gépek (CVM)
  • Azure Compute Gallery régebbi (2024 áprilisa előtti) Linux megbízható indítású vagy bizalmas virtuális gépekről rögzített rendszerképek
  • Pillanatképek vagy biztonsági másolatok a Linux megbízható indításáról vagy a 2024 áprilisa előtt létrehozott bizalmas virtuális gépekről
  • Blobokból 2024 április előtt létrehozott, biztonságos lemezként importált bizalmas virtuális gépek.

A 2024 áprilisa után létrehozott megbízható indítás és bizalmas Virtual Machines általában már tartalmaznak Secure Boot 2023-tanúsítványokat a virtuális UEFI belső vezérlőprogramban.

Megjegyzés

A 2024 áprilisa előtt létrehozott Linux bizalmas virtuális gépeket nem szabad manuálisan frissíteni, mivel a Bizalmas lemeztitkosítás a vTPM PCR7-értékére támaszkodik, amelyet a rendszer a biztonságos rendszerindítási változók alapján számít ki. Ha a biztonságos rendszerindítási tanúsítványokat az FDE-kulcs újbóli lezárásának biztosítása nélkül frissíti, a bizalmas virtuális gép helyreállítási módba lép. Javasoljuk, hogy az új tanúsítványok lekéréséhez hozza létre újra az ilyen régi bizalmas virtuális gépeket.

Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok

Az Azure rendszerű virtuális gépeken futó Linux biztonságos rendszerindítási frissítései két összetevőből állnak:

  • Biztonságos rendszerindítási tanúsítványok a virtuális belső vezérlőprogramban (manuálisan telepíthetők az operációs rendszer által biztosított eszközökkel vagy automatikusan a biztonsági frissítéseken keresztül)
  • Linux segédkód és rendszerbetöltő frissítések (disztribúciós szállító által kezelt)

A frissítési műveleteket a rendszer a vendég operációs rendszerből kezdeményezi, és a platform támogatására támaszkodva alkalmaznak hitelesített frissítéseket a biztonságos rendszerindítási változókra.

Az alkalmazható forgatókönyvek azonosítása után leltárba kell helyeznie a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítést.

Beavatkozás szükséges

Minden Azure-beli vendég virtuális gép esetén:

  • Ellenőrizze, hogy a Secure Boot 2023 tanúsítványok megtalálhatók-e a virtuális UEFI belső vezérlőprogramban

Ellenőrzési módszerek

Futtassa ezeket a parancsokat a frissítés és az újraindítás után. Sikeresen frissített virtuális gépeken minden parancs egy egyező sort ad vissza. Ha egy parancs nem ad vissza kimenetet, a megfelelő 2023-as tanúsítvány nem található, és a frissítést nem alkalmazta – alkalmazása előtt ellenőrizze újra a frissítési lépéseket.

Mind a DB, mind a KEK ellenőrzéseknek vissza kell adniuk egy sort. A sikeresen frissített gép a 2023-as adatbázis-tanúsítványt és a 2023-as KEK tanúsítványt jeleníti meg.

A mokutil használata

Megjegyzés

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Az efitools használata

Megjegyzés

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Megjegyzés

  • Ha a 'mokutil' nincs telepítve, telepítse a disztribúció standard tárházából, vagy használja helyette a '' karakterláncotefi-readvar -v db` / `efi-readvar -v KEK.
  • Bizalmas virtuális gépek esetén ne futtasson manuális frissítést e kimenet alapján – hozza létre újra a virtuális gépet az Azure bizalmas virtuális gépekre vonatkozó javaslataiban leírtak szerint.

Linux rendszerindítási lánc frissítése

A sikeres firmware-frissítés után biztonságosan alkalmazhatja a Linux disztribúciós gyártók segédkód-frissítéseit.

Egyéb szempontok az Azure-erőforrásokkal kapcsolatban

Azure-erőforrás 2024 áprilisa előtt létrehozott A TVM-hez szükséges beavatkozás A CVM-hez szükséges művelet
Biztonsági mentés/pillanatfelvétel Igen VM indítása, frissítések alkalmazása, újbóli rögzítés A CVM újbóli létrehozása és ismételt rögzítés
Biztonsági mentés/pillanatfelvétel Nem Nincs teendője Nincs teendője
Számítási galéria képe Igen Telepítés, frissítés, újbóli rögzítés A CVM újbóli létrehozása és ismételt rögzítés
Számítási galéria képe Nem Nincs teendője Nincs teendője

Frissítési állapot figyelése

Ellenőrizze a frissítéseket a vendég operációs rendszeren keresztül:

  • Sikeres rendszerindítás ellenőrzése frissítések után
  • Ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok megtalálhatók-e a belső vezérlőprogramban

A monitorozási és érvényesítési megközelítések a Linux disztribúciótól függően eltérőek lehetnek, és forduljon a disztribúció szállítójához.

Megbízható indítású virtuális gépek esetén:

  • A frissítéseket a helyes sorrendben kell alkalmazni.

    Fontos

    Mindig frissítse a biztonságos rendszerindítási firmware-t (UEFI-változókat) a segédkód vagy a rendszerbetöltő frissítése előtt.

  • Javasoljuk, hogy először indítsa újra a virtuális gépet, hogy megbizonyosodjon arról, hogy a legújabb belső vezérlőprogram fut-e, és ellenőrizze a sikeres rendszerindítást.

  • Indítsa el a frissítéseket a Linux vendég virtuálisgép-operációs rendszerből, ha azt a disztribúció szállítója által ajánlott útmutatás és eszközök előírják.

  • Ha KEK vagy DB frissítési hibákba ütközik, és először nem indította újra a rendszert, indítsa újra a virtuális gépet, és győződjön meg arról, hogy a legújabb belső vezérlőprogramot futtatja, és próbálja meg újból frissíteni a KEKET és az adatbázist.

  • Ha a belső vezérlőprogram frissítése előtt frissíti a segédkódot, az rendszerindítási hibához vezethet.

Bizalmas virtuális gépek esetén:

  • A legtöbb bizalmas virtuális gép már rendelkezik az új tanúsítványokkal. A Secure Boot 2023-as tanúsítványokkal nem rendelkező bizalmas virtuális gépek esetében kövesse az alábbi szakaszt: Az Azure javaslatai bizalmas virtuális gépekhez.

Frissítések telepítése

Az Azure virtuális gépeken futó Linux biztonságos rendszerindítási tanúsítványának frissítései a vendég operációs rendszerből kezdeményezhetők. Ezek a frissítések disztribúciónként eltérnek, és az ügyfeleknek először a disztribúció szállítójánál kell érdeklődniük a javasolt módszerről.

Megjegyzés

  • Itt csak azok a Linux operációs rendszer gyártói szerepelnek, amelyek közzétették a biztonságos rendszerindítási tanúsítvány frissítési útmutatóját. Ez a lista folyamatosan frissül, ahogy további szállítók teszik közzé útmutatóikat.
  • Ha a disztribúció szállítója nem szerepel a listán, az nem jelenti azt, hogy a virtuális gép nem érintett – ez azt jelenti, hogy a szállító még nem tette közzé a biztonságos rendszerindítás 2023 KEK és DB frissítési útmutatóját. Ebben az esetben forduljon a forgalmazó szállítójához az ajánlott módszerért, vagy használja az alábbiakban ismertetett manuális alternatív belsővezérlőprogram-frissítési módszerek egyikét.

Ajánlások a támogatott Linux operációsrendszer-gyártóktól:

Az Azure javaslatai bizalmas virtuális gépekhez:

  • A 2024 áprilisa előtt létrehozott CVM-ek száma nagyon alacsony. Ha a bizalmas virtuális gép azon kevesek egyike, amelyek nem rendelkeznek az új tanúsítványokkal, kövesse a lépéseket a CVM ismételt létrehozásához.

Alternatív belső vezérlőprogram-frissítési módszerek

Megjegyzés

Mielőtt közvetlenül az éles virtuális gépeken kipróbálná az UEFI változófrissítéseket, az ügyfelek az Azure gyors üzembe helyezési sablonjával szimulálhatják a Linux megbízható indítási virtuális gépét régebbi 2011-es UEFI CA-tanúsítványokkal.

Fontos

A jelen szakaszban ismertetett manuális belsővezérlőprogram-frissítési módszerek alternatívái a forgalmazó szállítója által ajánlott módszernek, és kölcsönösen kizárják azt. Használja az operációs rendszer gyártójának módszerét, amikor először elérhetővé válik (lásd a Linux operációs rendszer gyártóinak javaslatait). Az alábbi manuális módszereket csak akkor használja, ha a szállító nem tett közzé útmutatót, vagy ha a szállító kifejezetten erre utasítja. Ne alkalmazza a szállítói és a manuális módszert ugyanarra a virtuális gépre.  A frissítésekhez csak egy alternatív módszert kell használnia (fwupd, efitools vagy sbsigntools) – nem szükséges mindhármat futtatni.  Minden Linux disztribúció különböző eszközöket és verziókat, valamint különböző tárolókon keresztül csomagol, ezért fontos, hogy kövesse a Linux operációs rendszer utasításait.

Megjegyzés

Az eszközök elérhetősége és verziói eloszlástól és eszközforrástól függően eltérnek.

1. alternatíva: Az fwupd használata

Győződjön meg arról, hogy a virtuális gépen az fwupd 2.0.8-as vagy újabb verziója van telepítve.

A KEK és az DB frissítéséhez futtassa ezeket a parancsokat az fwupdmgr paranccsal:

Megjegyzés

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

2. alternatíva: efitools használata

  • DB- és KEK-frissítési csomagok letöltése az Azure-hoz.

    Megjegyzés

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Ellenőrizze a letöltött bináris fájlok MD5 vagy SHA1 adatait – pontosan a következőknek kell egyezniük:

    Megjegyzés

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Használja az efi-updatevar parancsot a frissítőcsomagok telepítéséhez

    Megjegyzés

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

3. alternatíva: Az sbsigntools használata

  • Töltse le és ellenőrizze DBUpdate3P2023.bin a KEKUpdate_Microsoft_PK1.bin fenti "2. alternatíva: Az efitools használata" című részben leírtak szerint.

  • Használja az sbsigntools sbkeysync segédprogramját a frissítőcsomagok telepítéséhez:

    Megjegyzés

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Rendszerindítási hibák kockázatcsökkentő lépései

Meghibásodás esetén, például az UEFI változó frissítése utáni rendszerindítási hiba esetén, az alábbi módszerek egyikével állíthatja vissza az UEFI-beállításokat:

  1. Állítsa vissza a manuális frissítési folyamat megkezdése előtt készített biztonsági másolatot.
  2. A megbízható indítású VM konvertálása standard virtuális géppé, és a megbízható indítás biztonsági típusának újbóli alkalmazása a virtuális gépen. (További részletek itt: Megbízható indítás engedélyezése meglévő 2. generációs virtuális gépeken – Azure Virtual Machines | Microsoft Learn)
  3. Exportálja az operációs rendszer virtuális merevlemezét egy tárfiókba, hozzon létre egy galérialemezképet a virtuális merevlemezről, és telepítse a virtuális gépet a galériarendszerkép verziójával.

Harmadik felektől származó információkra vonatkozó jogi nyilatkozat

A jelen cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek készítik. Nem vállalunk sem kifejezett, sem más jellegű jótállást e termékek megbízhatóságára és működésére vonatkozóan.

Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.

Módosítási napló

Dátum módosítása Módosítás leírása
2026. július 29. Főbb módosítások, amelyek egyértelműbbé teszik a szükséges műveleteket, és alternatív belső vezérlőprogram-frissítési módszereket.
Június 18, 2026 Referencia linkeket adtunk hozzá a "Javaslatok a Linux operációs rendszer gyártóitól" szakaszhoz.