Si applica a
Virtual Machine running Linux

Data di pubblicazione originale: 12 giugno 2026

ID KB: 5103014

Si applica a:

macchine virtuali avvio attendibile Azure e macchine virtuali riservate che eseguono Linux con avvio protetto abilitato

Per l'elenco completo del sistema operativo supportato per avvio attendibile, vedere questo collegamento: Avvio attendibile per macchine virtuali Azure - Azure Macchine virtuali | Microsoft Learn

Per l'elenco completo del sistema operativo supportato per le macchine virtuali riservate, vedere questo collegamento: Informazioni su Azure VM riservate | Microsoft Learn

Contenuto dell'articolo

Introduzione

Avvio protetto è una funzionalità di sicurezza del firmware UEFI che garantisce l'esecuzione solo di software attendibile con firma digitale durante la sequenza di avvio della macchina virtuale. I certificati di Microsoft Secure Boot emessi nel 2011 iniziano a scadere a giugno 2026. 

Per mantenere la protezione dell'avvio protetto e la manutenzione continua del primo processo di avvio, Azure avvio attendibile in esecuzione Linux deve essere aggiornato con i certificati db di avvio protetto 2023 e KEK nel firmware UEFI virtuale. Le macchine virtuali riservate per Linux in Azure con certificati precedenti devono essere ricreate. 

Se una macchina virtuale continua a basarsi sui certificati 2011 dopo la scadenza, continuerà ad avviarsi. Tuttavia, non riceverà più nuove protezioni di sicurezza sotto forma di aggiornamenti shim e certificati e revoche futuri. 

Identificare gli scenari che richiedono un intervento 

Esaminare gli scenari seguenti per determinare se è necessaria un'azione: 

  • Linux macchine virtuali di avvio attendibili (TVM) o macchine virtuali riservate (CVM) create prima di aprile 2024

  • Azure immagini della raccolta di calcolo acquisite da macchine virtuali attendibili (precedenti ad aprile 2024) Linux

  • Snapshot o backup di Linux avvio attendibile o macchine virtuali riservate creati prima di aprile 2024

  • Macchine virtuali riservate create prima di aprile 2024 da BLOB, importate come disco sicuro.

Avvio attendibile e riservato Macchine virtuali creati dopo aprile 2024 in genere includono già i certificati di avvio protetto 2023 nel firmware UEFI virtuale.

Nota: Linux VM riservate create prima di aprile 2024 non devono essere aggiornate manualmente perché La crittografia disco riservato si basa sul valore PCR7 del vTPM calcolato in base alle variabili di avvio protetto. Se si aggiornano i certificati di avvio protetto senza verificare che la chiave FDE venga nuovamente sealing, la macchina virtuale riservata passerà in modalità di ripristino. È consigliabile ricreare tali vecchie macchine virtuali riservate per ottenere i nuovi certificati.

considerazioni sulla macchina virtuale guest Azure 

Gli aggiornamenti di avvio protetto per Linux nelle macchine virtuali Azure includono due componenti: 

  • Certificati di avvio protetto nel firmware virtuale (installati manualmente tramite strumenti forniti dal sistema operativo o automaticamente tramite gli aggiornamenti della sicurezza)

  • Linux aggiornamenti shim e bootloader (gestiti da fornitori distro)

Le operazioni di aggiornamento vengono avviate dall'interno del sistema operativo guest e si basano sul supporto della piattaforma per applicare gli aggiornamenti autenticati alle variabili di avvio protetto. 

Dopo aver identificato gli scenari applicabili, creare un inventario dell'ambiente per determinare quali macchine virtuali richiedono aggiornamenti. 

Azioni richieste 

Per tutte le macchine virtuali guest Azure:

  • Verificare se i certificati di avvio protetto 2023 sono presenti nel firmware UEFI virtuale

Per le macchine virtuali di avvio attendibili:

  • Avvia aggiornamenti dall'interno del sistema operativo della macchina virtuale guest Linux dove richiesto in base alle indicazioni e agli strumenti consigliati dal fornitore della distribuzione.

  • Per Linux macchine virtuali, gli aggiornamenti devono essere applicati nell'ordine corretto.

    Importante: Aggiorna sempre il firmware di avvio protetto (variabili UEFI) prima di aggiornare shim o bootloader. 

  • Se si aggiorna lo shim prima di aggiornare il firmware, potrebbe verificarsi un errore di avvio.

Per le macchine virtuali riservate:

Distribuire gli aggiornamenti 

Gli aggiornamenti dei certificati di avvio protetto per Linux su macchine virtuali Azure vengono avviati dall'interno del sistema operativo guest. Questi aggiornamenti variano in base ai fornitori di distribuzione e i clienti devono consultare prima il fornitore della distribuzione in base al metodo consigliato.  

Consigli dei fornitori di Linux del sistema operativo: 

Consigli di Azure per le macchine virtuali riservate:

  • Il numero di CVM creati prima di aprile 2024 è molto basso. Se la macchina virtuale riservata è uno dei pochi che non dispone dei nuovi certificati, seguire i passaggi per ricreare la macchina virtuale.

Metodi di aggiornamento del firmware 

Nota: Prima di provare gli aggiornamenti delle variabili UEFI direttamente nelle macchine virtuali di produzione, i clienti possono utilizzare il modello di avvio rapido Azure per simulare la macchina virtuale di avvio attendibile Linux con certificati CA UEFI 2011 precedenti.

Uso di fwupd 

Assicurati che la macchina virtuale abbia installato fwupd versione 2.0.8 o successiva. 

Per aggiornare sia KEK che db, eseguire questi comandi con fwupdmgr:

sudo fwupdmgr refresh

aggiornamento sudo fwupdmgr

Uso di efitools 

Scarica i pacchetti di aggiornamento db e KEK per Azure.

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Usare efi-updatevar per installare i pacchetti di aggiornamento

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

riavvio sudo

Uso di sbsigntools 

Scarica i pacchetti di aggiornamento db e KEK per Azure. 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Utilizza l'utilità sbkeysync di sbsigntools per installare i pacchetti di aggiornamento:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

riavvio sudo

Metodi di verifica 

Uso di mokutil 

  • mokutil --db | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

Uso di efitools 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

aggiornamento della catena di avvio Linux 

Dopo il successo dell'aggiornamento del firmware, è possibile applicare gli aggiornamenti SHIM dei fornitori di distribuzione Linux. 

Considerazioni su altre risorse Azure

Azure risorsa

Creato prima di aprile 2024

Azione necessaria per TVM

Azione necessaria per la macchina virtuale

Backup/snapshot

Avvia VM, applica aggiornamenti, riconquista

Ricreare la macchina virtuale, la riconquista

Backup/snapshot

No

Nessuna azione necessaria

Nessuna azione necessaria

Immagine della raccolta di calcolo

Distribuire, aggiornare, riconquistare

Ricreare la macchina virtuale, la riconquista

Immagine della raccolta di calcolo

No

Nessuna azione necessaria

Nessuna azione necessaria

Monitorare lo stato dell'aggiornamento 

Verifica gli aggiornamenti tramite il sistema operativo guest: 

  • Verificare il corretto avvio dopo gli aggiornamenti

  • Verificare che i certificati di avvio protetto siano presenti nel firmware

Gli approcci di monitoraggio e convalida possono variare in base alla distribuzione Linux ed è consigliabile rivolgersi al fornitore della distribuzione. 

Passaggi di prevenzione in caso di errori di avvio 

In caso di uno scenario di errore, ad esempio un errore di avvio dopo l'aggiornamento della variabile UEFI, puoi reimpostare le impostazioni UEFI utilizzando uno dei metodi seguenti: 

  1. Ripristinare il backup eseguito prima di avviare il processo di aggiornamento manuale.

  2. Converti VM avvio attendibile in Standard macchina virtuale e riapplicare il tipo di sicurezza Avvio attendibile sulla macchina virtuale. (Altri dettagli qui: Abilita avvio attendibile nelle macchine virtuali gen2 esistenti - Azure Macchine virtuali | Microsoft Learn)

  3. Esporta il disco rigido del sistema operativo in un account di archiviazione, crea un'immaginedella raccolta dal vhd e distribuisci la macchina virtuale con la versione dell'immagine della raccolta.

​​​​​​​​​​​​​​Informazioni sulla dichiarazione di non responsabilità di terze parti

I prodotti di terze parti descritti in questo articolo sono realizzati da società indipendenti da Microsoft. Non forniamo alcuna garanzia, implicita o di altro tipo, sulle prestazioni o sull'affidabilità di questi prodotti.

Forniamo informazioni di contatto di terze parti per aiutarti a trovare il supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Non garantiamo l'accuratezza delle informazioni di contatto di terze parti.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità