Attiecas uz
Virtual Machine running Linux

Sākotnējais publicēšanas datums: 2026. gada 12. jūnijs

KB ID: 5103014

Attiecas uz:

Azure uzticamās palaišanas virtuālās mašīnas un konfidenciālas virtuālās mašīnas, kurās darbojas Linux un iespējota drošā sāknēšana

Pilnu atbalstīto OS sarakstu uzticamai palaišanai, lūdzu, skatiet šo saiti: Uzticama palaišana Azure VMs — Azure virtuālās mašīnas | Microsoft Learn

Pilnu atbalstīto OS konfidenciālu virtuālo mašīnu sarakstu, lūdzu, skatiet šo saiti: Par Azure konfidenciālajām VM | Microsoft Learn

Šajā rakstā

Ievads

Drošā palaišana ir UEFI aparātprogrammatūras drošības līdzeklis, kas palīdz nodrošināt, ka VM sāknēšanas laikā darbojas tikai uzticama programmatūra ar ciparparakstu. 2011. gadā izdoto Microsoft drošās palaišanas sertifikātu derīgums sākas 2026. gada jūnijā. 

Lai uzturētu drošu palaišanas aizsardzību un turpinātu agrīnās sāknēšanas procesa apkalpošanu, Azure uzticamā palaišana, kurā darbojas Linux, ir jāatjaunina ar drošās palaišanas 2023 db un KEK sertifikātiem virtuālajā UEFI aparātprogrammatūrā. Konfidenciālas virtuālās mašīnas Linux sistēmā Azure ar veciem sertifikātiem ir jāizveido no jauna. 

Ja VM turpina paļauties uz 2011. gada sertifikātiem pēc derīguma beigām, tā turpinās palaist. Tomēr tas vairs nesaņems jaunu drošības aizsardzību ielikumu atjauninājumu un turpmāko sertifikātu un atsaukšanas veidā. 

Identificējiet scenārijus, kuros nepieciešama rīcība 

Pārskatiet tālāk norādītos scenārijus, lai noteiktu, vai ir nepieciešama rīcība: 

  • Linux uzticamās palaišanas virtuālās mašīnas (TVM) vai konfidenciālas virtuālās mašīnas (CVM), kas izveidotas pirms 2024. gada aprīļa

  • Azure skaitļošanas galerijas attēli, kas uzņemti no vecākām (pirms 2024. gada aprīļa) Linux uzticamās palaišanas vai konfidenciālām virtuālajām mašīnām

  • Linux uzticamās palaišanas vai konfidenciālu virtuālo mašīnu momentuzņēmumi vai dublējumi, kas izveidoti pirms 2024. gada aprīļa

  • Konfidenciālas VM, kas izveidotas pirms 2024. gada aprīļa no BLOB, importētas kā drošais disks.

Uzticamas palaišanas un konfidenciālas virtuālās mašīnas, kas izveidotas pēc 2024. gada aprīļa, parasti jau ietver 2023. gada drošās palaišanas sertifikātus virtuālajā UEFI aparātprogrammatūrā.

Piezīme.: Linux konfidenciālās virtuālās mašīnas, kas izveidotas pirms 2024. gada aprīļa, nebūtu manuāli jāatjaunina, jo konfidenciāla diska šifrēšana balstās uz vTPM PCR7 vērtību, kas tiek aprēķināta, pamatojoties uz drošās sāknēšanas mainīgajiem. Atjauninot drošās palaišanas sertifikātus, nenodrošinot FDE atslēgas atkārtotu aizzīmogošanu, konfidenciālā VM pāriet atkopšanas režīmā. Ieteicams atjaunot šādas vecas konfidenciālas VM, lai iegūtu jaunos sertifikātus.

Azure viesa virtuālās mašīnas izmantošanas apsvērumi 

Drošās palaišanas atjauninājumi operētājsistēmai Linux Azure VM ietver divus komponentus: 

  • Drošās palaišanas sertifikāti virtuālajā programmaparatūrā (instalēti manuāli, izmantojot OS nodrošinātos rīkus vai automātiski, izmantojot drošības atjauninājumus)

  • Linux ielikumu un palaišanas ielādētāja atjauninājumi (pārvalda izplatīšanas piegādātājs)

Atjaunināšanas darbības tiek sāktas viesa operētājsistēmā, un tās autentificētus atjauninājumus lieto drošās palaišanas mainīgajiem, paļaujoties uz platformas atbalstu. 

Pēc piemērojamo scenāriju identificēšanas inventarizējiet savu vidi, lai noteiktu, kurām VM ir nepieciešami atjauninājumi. 

Veicamās darbības 

Visām Azure viesvirtuālajām mašīnām:

  • Pārbaudiet, vai virtuālajā UEFI aparātprogrammatūrā ir Secure Boot 2023 sertifikāti

Uzticamām palaišanas virtuālajām mašīnām:

  • Uzsāciet atjauninājumus no Linux viesa VM operētājsistēmas, ja nepieciešams, saskaņā ar jūsu izplatīšanas piegādātāja ieteiktajiem norādījumiem un rīkiem.

  • Linux virtuālajām mašīnām atjauninājumi ir jālieto pareizā secībā.

    Svarīgi!: Vienmēr atjauniniet drošās palaišanas aparātprogrammatūru (UEFI mainīgos) pirms ielikuma vai palaišanas ielādētāja atjaunināšanas. 

  • Atjauninot ielikumu pirms aparātprogrammatūras atjaunināšanas, vispirms var rasties sāknēšanas kļūme.

Konfidenciālām virtuālajām mašīnām:

  • Lielākajai daļai konfidenciālo virtuālo mašīnu jau ir jaunie sertifikāti. Konfidenciālām virtuālajām mašīnām bez drošās palaišanas 2023 sertifikātiem izpildiet tālāk sadaļā Azure ieteikumi konfidenciālām VM sniegtos norādījumus.

Atjauninājumu izvietošana 

Drošās palaišanas sertifikāta atjauninājumi operētājsistēmai Linux Azure VM tiek iniciēti viesa operētājsistēmā. Šie atjauninājumi atšķiras atkarībā no izplatīšanas piegādātājiem, un klientiem vispirms jānoskaidro ieteicamā metode pie sava izplatīšanas pārdevēja.  

Ieteikumi no Linux OS pārdevējiem: 

Azure ieteikumi konfidenciālām virtuālajām mašīnām:

  • Pirms 2024. gada aprīļa izveidoto CVM skaits ir ļoti mazs. Ja jūsu konfidenciālā VM ir viena no retajām, kurai nav jauno sertifikātu, izpildiet darbības, lai atkārtoti izveidotu CVM.

Aparātprogrammatūras atjaunināšanas metodes 

Piezīme.: Pirms izmēģināt UEFI mainīgo atjauninājumus tieši ražošanas virtuālajās mašīnās, klienti var izmantot Azure īsās pamācības veidni, lai simulētu Linux uzticamās palaišanas VM ar vecākiem 2011. gada UEFI CA sertifikātiem.

Fwupd izmantošana 

Pārliecinieties, vai VM ir instalēta fwupd versija 2.0.8 vai jaunāka versija. 

Lai atjauninātu gan KEK, gan db, izpildiet šīs komandas, izmantojot fwupdmgr:

sudo fwupdmgr atsvaidzināšana

sudo fwupdmgr atjauninājums

Efitools izmantošana 

Lejupielādējiet db un KEK atjauninājumu pakotnes Azure.

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Izmantojiet efi-updatevar, lai instalētu atjaunināšanas pakotnes

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

sudo reboot

Izmantojot sbsigntools 

Lejupielādējiet db un KEK atjauninājumu pakotnes Azure. 

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Izmantojiet sbsigntools utilītu sbkeysync, lai instalētu atjauninājumu pakotnes:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

sudo reboot

Verifikācijas metodes 

Mokutil lietošana 

  • mokutil --db | grep "UEFI CA 2023"

  • mokutil --kek | grep "KEK 2K CA 2023"

Efitools izmantošana 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • ​​​​​​​​​​​​​​

Linux sāknēšanas ķēdes atjauninājums 

Pēc veiksmīgas programmaparatūras atjaunināšanas ir droši lietot ielikumu atjauninājumus no Linux izplatīšanas piegādātājiem. 

Citi apsvērumi saistībā ar Azure resursiem

Azure resource

Izveidots pirms 2024. gada aprīļa

TVM nepieciešama darbība

CVM nepieciešamā darbība

Dublējums/momentuzņēmums

Palaist VM, lietot atjauninājumus, atgūt atkārtoti

CVM atkārtota izveide, atkārtota atgūšana

Dublējums/momentuzņēmums

Nav jāveic nekādas darbības

Nav jāveic nekādas darbības

Skaitļošanas galerijas attēls

Izvietošana, atjaunināšana, atkārtota tveršana

CVM atkārtota izveide, atkārtota atgūšana

Skaitļošanas galerijas attēls

Nav jāveic nekādas darbības

Nav jāveic nekādas darbības

Atjaunināšanas statusa pārraudzība 

Atjauninājumu pārbaude, izmantojot viesa OS: 

  • Sekmīgas sāknēšanas pārbaude pēc atjaunināšanas

  • Pārbaudiet, vai aparātprogrammatūrā ir drošās palaišanas sertifikāti

Uzraudzības un validācijas pieejas var atšķirties atkarībā no Linux izplatīšanas, un jums jāsazinās ar izplatīšanas piegādātāju. 

Risinājumi palaišanas kļūmju gadījumā 

Kļūmes scenārija gadījumā, piemēram, palaišanas kļūme pēc UEFI mainīgā atjauninājuma, varat atiestatīt UEFI iestatījumus, izmantojot kādu no tālāk norādītajām metodēm. 

  1. Atjaunojiet dublējumu, kas izveidots pirms manuālās atjaunināšanas procesa sākšanas.

  2. Konvertējiet uzticamo palaišanas VM uz Standard VM un atkārtoti lietojiet uzticamās palaišanas drošības tipu VM. (Sīkāka informācija šeit: Iespējot uzticamu palaišanu esošajās Gen2 VM - Azure virtuālajās mašīnās | Microsoft Learn)

  3. Eksportējiet OS vhd uz krātuves kontu, izveidojiet galerijas attēluno vhd un izvietojiet VM, izmantojot galerijasattēla versiju.

​​​​​​​​​​​​​​Trešās puses informācijas atruna

Šajā rakstā aprakstītos trešo pušu produktus ražo no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nedodam ne tiešu, ne netiešu garantiju šo produktu veiktspējai vai uzticamībai.

Mēs nodrošinām trešās puses kontaktinformāciju, lai palīdzētu jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešo pušu kontaktinformācijas precizitāti.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs