Biztonságos rendszerindítási tanúsítványfrissítések Linux rendszerhez Azure virtuális gépeken

Eredeti közzétételi dátum: 2026. június 12.

Tudásbáziscikk azonosítója: 5103014

Hatókör:

Azure Trusted Launch virtuális gépek és Linux rendszeren működő bizalmas virtuális gépek engedélyezett biztonságos rendszerindítással

A megbízható indításhoz támogatott operációs rendszerek teljes listáját a következő hivatkozáson találja: Megbízható indítás Azure virtuális gépekhez – Azure Virtual Machines | Microsoft Learn

A bizalmas virtuális gépek támogatott operációs rendszereinek teljes listáját a következő hivatkozáson találja: Tudnivalók a bizalmas Azure virtuális gépekről | Microsoft Learn

Ebben a cikkben

Ismertető
Azonosítsa az intézkedést igénylő eseteket
Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok
Rendszerindítási hibák kockázatcsökkentő lépései

Ismertető

A biztonságos rendszerindítás egy UEFI belső vezérlőprogram biztonsági funkciója, amely segít biztosítani, hogy csak megbízható, digitálisan aláírt szoftverek fussanak a virtuális gép rendszerindítási fázisa során. A 2011-ben kibocsátott Microsoft biztonságos rendszerindítási tanúsítványok 2026 júniusában kezdenek lejárni.

A biztonságos rendszerindítás védelmének és a korai rendszerindítási folyamat folyamatos karbantartásának fenntartása érdekében a Linux rendszerű Azure Trusted Launchot Secure Boot 2023 db- és KEK-tanúsítványokkal kell frissíteni a virtuális UEFI belső vezérlőprogramban. Az Azure-ban futó Linux bizalmas virtuális gépeket régi tanúsítványokkal újra létre kell hozni.

Ha egy virtuális gép a lejárat után továbbra is a 2011-es tanúsítványokra támaszkodik, továbbra is a rendszerindítás folytatódik. A továbbiakban azonban nem kap új biztonsági védelmet segédkódfrissítések, jövőbeli tanúsítványok és visszavonások formájában.

Azonosítsa az intézkedést igénylő eseteket

Az alábbi forgatókönyvek áttekintésével állapítsa meg, hogy kell-e valamilyen műveletet végrehajtani:

A 2024 áprilisa előtt létrehozott Linux megbízható indítású virtuális gépek (TVM) vagy bizalmas virtuális gépek (CVM)
Azure Compute Gallery régebbi (2024 áprilisa előtti) Linux megbízható indítású vagy bizalmas virtuális gépekről rögzített rendszerképek
Pillanatképek vagy biztonsági másolatok a Linux megbízható indításáról vagy a 2024 áprilisa előtt létrehozott bizalmas virtuális gépekről
A 2024 áprilisa előtt blobokból létrehozott, biztonságos lemezként importált bizalmas virtuális gépek.

A 2024 áprilisa után létrehozott megbízható indítás és bizalmas Virtual Machines általában már tartalmaznak Secure Boot 2023-tanúsítványokat a virtuális UEFI belső vezérlőprogramban.

Megjegyzés: A 2024 áprilisa előtt létrehozott Linux bizalmas virtuális gépeket nem szabad manuálisan frissíteni, mivel a Bizalmas lemeztitkosítás a vTPM PCR7-értékére támaszkodik, amelyet a rendszer a biztonságos rendszerindítási változók alapján számít ki. Ha a biztonságos rendszerindítási tanúsítványokat az FDE-kulcs újbóli lezárásának biztosítása nélkül frissíti, a bizalmas virtuális gép helyreállítási módba lép. Javasoljuk, hogy az új tanúsítványok lekéréséhez hozza létre újra az ilyen régi bizalmas virtuális gépeket.

Az Azure-beli vendég virtuális gépekkel kapcsolatos szempontok

Az Azure rendszerű virtuális gépeken futó Linux biztonságos rendszerindítási frissítései két összetevőből állnak:

Biztonságos rendszerindítási tanúsítványok a virtuális belső vezérlőprogramban (manuálisan telepíthetők az operációs rendszer által biztosított eszközökkel vagy automatikusan a biztonsági frissítéseken keresztül)
Linux segédkód és rendszerbetöltő frissítések (disztribúciós szállító által kezelt)

A frissítési műveleteket a rendszer a vendég operációs rendszerből kezdeményezi, és a platform támogatására támaszkodva alkalmaznak hitelesített frissítéseket a biztonságos rendszerindítási változókra.

Az alkalmazható forgatókönyvek azonosítása után leltárba kell helyeznie a környezetet annak meghatározásához, hogy mely virtuális gépek igényelnek frissítést.

Beavatkozás szükséges

Minden Azure-beli vendég virtuális gép esetén:

Ellenőrizze, hogy a Secure Boot 2023 tanúsítványok megtalálhatók-e a virtuális UEFI belső vezérlőprogramban

Megbízható indítású virtuális gépek esetén:

Indítsa el a frissítéseket a Linux vendég virtuálisgép-operációs rendszerből, ha azt a disztribúció szállítója által ajánlott útmutatás és eszközök előírják.
Linux rendszerű virtuális gépek esetén a frissítéseket a megfelelő sorrendben kell alkalmazni.

Fontos: Mindig frissítse a biztonságos rendszerindítási firmware-t (UEFI-változókat) a segédkód vagy a rendszerbetöltő frissítése előtt.
Ha a belső vezérlőprogram frissítése előtt frissíti a segédkódot, az rendszerindítási hibához vezethet.

Bizalmas virtuális gépek esetén:

A legtöbb bizalmas virtuális gép már rendelkezik az új tanúsítványokkal. A Secure Boot 2023-as tanúsítványokkal nem rendelkező bizalmas virtuális gépek esetében kövesse az alábbi szakaszt: Az Azure javaslatai bizalmas virtuális gépekhez.

Frissítések telepítése

Az Azure virtuális gépeken futó Linux biztonságos rendszerindítási tanúsítványának frissítései a vendég operációs rendszerből kezdeményezhetők. Ezek a frissítések disztribúciónként eltérnek, és az ügyfeleknek először a disztribúció szállítójánál kell érdeklődniük a javasolt módszerről.

Javaslatok a Linux operációs rendszer gyártóitól:

Az Azure javaslatai bizalmas virtuális gépekhez:

A 2024 áprilisa előtt létrehozott CVM-ek száma nagyon alacsony. Ha a bizalmas virtuális gép azon kevesek egyike, amelyek nem rendelkeznek az új tanúsítványokkal, kövesse a lépéseket a CVM ismételt létrehozásához.

A belső vezérlőprogram frissítési módszerei

Megjegyzés: Mielőtt közvetlenül az éles virtuális gépeken kipróbálná az UEFI változófrissítéseket, az ügyfelek az Azure gyors üzembe helyezési sablonjával szimulálhatják a Linux megbízható indítási virtuális gépét régebbi 2011-es UEFI CA-tanúsítványokkal.

Az fwupd használata

Győződjön meg arról, hogy a virtuális gépen az fwupd 2.0.8-as vagy újabb verziója van telepítve.

A KEK és a db frissítéséhez futtassa ezeket a parancsokat az fwupdmgr paranccsal:

sudo fwupdmgr frissítés

Az efitools használata

DB- és KEK-frissítési csomagok letöltése az Azure-hoz.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Használja az efi-updatevar parancsot a frissítőcsomagok telepítéséhez

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

sudo újraindítás

Az sbsigntools használata

DB- és KEK-frissítési csomagok letöltése az Azure-hoz.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Használja az sbsigntools sbkeysync segédprogramját a frissítőcsomagok telepítéséhez:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

sudo újraindítás

Ellenőrzési módszerek

A mokutil használata

mokutil --db | grep "UEFI CA 2023"
mokutil --kek | grep "KEK 2K CA 2023"

Az efitools használata

efi-readvar -v db | grep "UEFI CA 2023"
efi-readvar -v KEK | grep "KEK 2K CA 2023"

Linux rendszerindítási lánc frissítése

A sikeres firmware-frissítés után biztonságosan alkalmazhatja a Linux disztribúciós gyártók segédkód-frissítéseit.

Egyéb szempontok az Azure-erőforrásokkal kapcsolatban

Azure-erőforrás	2024 áprilisa előtt létrehozott	A TVM-hez szükséges beavatkozás	A CVM-hez szükséges művelet
Biztonsági mentés/pillanatfelvétel	Igen	VM indítása, frissítések alkalmazása, újbóli rögzítés	A CVM újbóli létrehozása és ismételt rögzítés
Biztonsági mentés/pillanatfelvétel	Nem	Nincs teendője	Nincs teendője
Számítási galéria képe	Igen	Telepítés, frissítés, újbóli rögzítés	A CVM újbóli létrehozása és ismételt rögzítés
Számítási galéria képe	Nem	Nincs teendője	Nincs teendője

Frissítési állapot figyelése

Ellenőrizze a frissítéseket a vendég operációs rendszeren keresztül:

Sikeres rendszerindítás ellenőrzése frissítések után
Ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok megtalálhatók-e a belső vezérlőprogramban

A monitorozási és érvényesítési megközelítések a Linux disztribúciótól függően eltérőek lehetnek, és forduljon a disztribúció szállítójához.

Rendszerindítási hibák kockázatcsökkentő lépései

Meghibásodás esetén, például az UEFI változó frissítése utáni rendszerindítási hiba esetén, az alábbi módszerek egyikével állíthatja vissza az UEFI-beállításokat:

Állítsa vissza a manuális frissítési folyamat megkezdése előtt készített biztonsági másolatot.
A megbízható indítású VM konvertálása standard virtuális géppé, és a megbízható indítás biztonsági típusának újbóli alkalmazása a virtuális gépen. (További részletek itt: Megbízható indítás engedélyezése meglévő 2. generációs virtuális gépeken – Azure Virtual Machines | Microsoft Learn)
Exportálja az operációs rendszer virtuális merevlemezét egy tárfiókba, hozzon létre egy galérialemezképet a virtuális merevlemezről, és telepítse a virtuális gépet a galériarendszerképverziójával.

Harmadik felektől származó információkra vonatkozó jogi nyilatkozat

A jelen cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek készítik. Nem vállalunk sem kifejezett, sem más jellegű jótállást e termékek megbízhatóságára és működésére vonatkozóan.

Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.