Pembaruan sertifikat Boot Aman untuk Linux di mesin virtual Azure

Dalam artikel ini

• Pendahuluan

• Mengidentifikasi skenario yang memerlukan tindakan

• Azure pertimbangan VM tamu

  • Diperlukan tindakan

  • Menyebarkan pembaruan

    • Rekomendasi dari vendor OS Linux

    • Rekomendasi menurut Azure untuk VM Rahasia

  • Metode pembaruan firmware

  • Metode verifikasi

  • Linux pembaruan rantai boot

  • Pertimbangan sumber daya Azure lainnya

  • Memantau status pembaruan

• Langkah mitigasi jika terjadi kegagalan boot

Pendahuluan

Secure Boot adalah fitur keamanan firmware UEFI yang membantu memastikan bahwa hanya perangkat lunak tepercaya yang ditandatangani secara digital yang berjalan selama urutan boot VM. Sertifikat Boot Aman Microsoft yang diterbitkan pada tahun 2011 mulai kedaluwarsa pada Juni 2026. 

Untuk menjaga perlindungan Boot Aman dan pelayanan yang berkelanjutan dari proses boot awal, Azure Trusted Launch menjalankan Linux harus diperbarui dengan sertifikat Secure Boot 2023 db dan KEK dalam firmware UEFI virtual. Mesin Virtual Rahasia untuk Linux di Azure dengan sertifikat lama harus dibuat ulang. 

Jika VM terus mengandalkan sertifikat 2011 setelah kedaluwarsa, VM akan terus boot. Namun, tidak akan lagi menerima perlindungan keamanan baru dalam bentuk pembaruan shim dan sertifikat dan pencabutan di masa mendatang. 

Mengidentifikasi skenario yang memerlukan tindakan 

Tinjau skenario berikut untuk menentukan apakah tindakan diperlukan: 

• Linux VM Peluncuran Tepercaya (TVM) atau VM Rahasia (CVM) yang dibuat sebelum April 2024

• Azure gambar Galeri Komputasi yang diambil dari VM Lama (pra-April 2024) Linux Peluncuran Tepercaya atau VM Rahasia

• Snapshot atau cadangan Linux Peluncuran Tepercaya atau VM Rahasia yang dibuat sebelum April 2024

• VM rahasia yang dibuat sebelum April 2024 dari blob, diimpor sebagai disk aman.

Virtual Machines Rahasia dan Peluncuran Tepercaya yang dibuat setelah April 2024 biasanya sudah menyertakan sertifikat Secure Boot 2023 dalam firmware UEFI virtual.

Azure pertimbangan VM tamu 

Pembaruan Boot Aman untuk Linux pada VM Azure melibatkan dua komponen: 

• Sertifikat Boot Aman di firmware virtual (diinstal secara manual melalui perkakas yang disediakan OS atau secara otomatis melalui pembaruan Keamanan)

• Linux pembaruan shim dan bootloader (dikelola vendor distro)

Operasi pembaruan dimulai dari dalam sistem operasi tamu dan mengandalkan dukungan platform untuk menerapkan pembaruan terautentikasi ke variabel Boot Aman. 

Setelah mengidentifikasi skenario yang berlaku, inventaris lingkungan Anda untuk menentukan VM mana yang memerlukan pembaruan. 

Diperlukan tindakan 

Untuk semua VM tamu Azure:

• Verifikasi apakah sertifikat Secure Boot 2023 ada di firmware UEFI virtual

Untuk VM Peluncuran Tepercaya:

• Memulai pembaruan dari dalam sistem operasi VM tamu Linux jika diperlukan sesuai dengan panduan dan alat yang direkomendasikan vendor Distro Anda.

• Untuk VM Linux, pembaruan harus diterapkan dalam urutan yang benar.

  Penting: Selalu perbarui firmware Boot Aman (variabel UEFI) sebelum memperbarui shim atau bootloader. 

• Memperbarui shim sebelum memperbarui firmware terlebih dahulu dapat mengakibatkan kegagalan boot.

Untuk VM Rahasia:

• Sebagian besar VM Rahasia telah memiliki sertifikat baru. Untuk VM Rahasia tanpa sertifikat Secure Boot 2023, ikuti panduan di bawah ini di bagian, Rekomendasi oleh Azure untuk VM Rahasia.

Menyebarkan pembaruan 

Pembaruan sertifikat Boot Aman untuk Linux pada VM Azure dimulai dari dalam sistem operasi tamu. Pembaruan ini berbeda dengan vendor distro, dan pelanggan harus memeriksa vendor distro mereka terlebih dahulu pada metode yang direkomendasikan.  

Rekomendasi dari vendor OS Linux: 

• Boot Aman UEFI: Transisi Sertifikat Microsoft 2023 | AlmaLinux Wiki

• SecureBoot/CAChanges - Debian Wiki

• Rotasi Microsoft UEFI CA: Apa artinya bagi pengguna dan vendor Ubuntu - Hub Komunitas Ubuntu

Rekomendasi menurut Azure untuk VM Rahasia:

• Jumlah CVM yang dibuat sebelum April 2024 sangat rendah. Jika VM Rahasia Anda adalah salah satu dari beberapa yang tidak memiliki sertifikat baru, ikuti langkah-langkah untuk membuat ulang CVM.

Metode pembaruan firmware 

Menggunakan fwupd 

Pastikan VM telah menginstal VM versi 2.0.8 atau yang lebih baru. 

Untuk memperbarui KEK dan db, jalankan perintah ini dengan fwupdmgr:

Menggunakan efitool 

Unduh paket pembaruan db dan KEK untuk Azure.

Gunakan efi-updatevar untuk menginstal paket pembaruan

Menggunakan sbsigntools 

Unduh paket pembaruan db dan KEK untuk Azure. 

Gunakan utilitas sbkeysync sbsigntools untuk menginstal paket pembaruan:

Metode verifikasi 

Menggunakan mokutil 

Menggunakan efitool 

Langkah mitigasi jika terjadi kegagalan boot 

Jika terjadi kegagalan skenario seperti kegagalan boot setelah pembaruan variabel UEFI, Anda dapat mengatur ulang pengaturan UEFI menggunakan salah satu metode di bawah ini: 

1. Pulihkan cadangan yang diambil sebelum memulai proses pembaruan manual.

2. Konversi VM Peluncuran Tepercaya ke VM Standar dan terapkan kembali tipe keamanan Peluncuran Tepercaya pada VM. (Detail selengkapnya di sini: Aktifkan Peluncuran tepercaya pada VM Gen2 yang sudah ada - Azure Virtual Machines | Microsoft Learn)

3. Ekspor vhd OS ke akun penyimpanan, buat gambargaleri dari vhd dan gunakan VM menggunakan versi gambar galeri.

​​​​​​​​​​​​​​Sanggahan informasi pihak ketiga

Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan yang bukan merupakan bagian dari Microsoft. Kami tidak memberikan jaminan, baik tersirat maupun tersurat, terkait kinerja atau keandalan produk ini.

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.