Posodobitve potrdil za varni zagon za Linux v navideznih računalnikih Azure

Velja za
Virtual Machine running Linux

Opomba

  • Izvirni datum objave: 12. junij 2026
  • ID zbirke znanja: 5103014

Opomba

V tem članku

Uvod

Varni zagon je varnostna funkcija vdelane programske opreme vmesnika UEFI, ki pomaga zagotoviti, da se med zaporedjem zagona navideznega računalnika izvaja le zaupanja vredna, digitalno podpisana programska oprema. Potrdila za Microsoftov varni zagon, izdana v letu 2011, začnejo potekati junija 2026.

Če želite ohraniti zaščito varnega zagona in nadaljevati servisiranje postopka zgodnjega zagona, je treba zaupanja vreden zagon Azure z nameščenim sistemom Linux posodobiti s potrdili Secure Boot 2023 DB in KEK v navidezni vdelani programski opremi UEFI. Zaupne navidezne računalnike za Linux v storitvi Azure s starimi potrdili je treba ustvariti znova.

Če navidezni računalnik po poteku še naprej temelji na potrdilih 2011, se bo še vedno zagnal. Vendar pa ne bo več prejemal novih varnostnih zaščit v obliki posodobitev vmesnih nastavitev ter prihodnjih potrdil in preklicev. Stranke z navideznimi računalniki, ki nimajo posodobljenih potrdil, morajo še naprej sodelovati s ponudniki distribucij, da posodobijo svoja potrdila tudi po datumu poteka.

Prepoznavanje scenarijev, za katere je treba izvesti dejanja

Preglejte spodnje scenarije in ugotovite, ali morate ukrepati:

  • Zaupanja vredni začetni navidezni računalniki za Linux (TVM) ali zaupni navidezni računalniki (CVM), ustvarjeni pred aprilom 2024
  • Slike v galeriji izračunov Azure, zajete iz starejših (pred aprilom 2024) zaupanja vrednega zagona za Linux ali zaupnih navideznih računalnikov
  • Posnetki ali varnostne kopije zaupanja vrednih zagonskih ali zaupnih navideznih računalnikov za Linux, ustvarjenih pred aprilom 2024
  • Zaupni navidezni računalniki, ustvarjeni pred aprilom 2024 iz zbirk dvojiških podatkov, uvoženi kot varen disk.

Trusted Launch in Zaupni navidezni računalniki, ustvarjeni po aprilu 2024, običajno že vključujejo potrdila za varni zagon 2023 v navidezni vdelani programski opremi UEFI.

Opomba

Zaupnih navideznih računalnikov s sistemom Linux, ustvarjenih pred aprilom 2024, ne smete ročno posodabljati, saj zaupno šifriranje diska temelji na vrednosti PCR7 modula vTPM, ki je izračunana na podlagi spremenljivk varnega zagona. Če posodobite potrdila za varni zagon, ne da bi zagotovili ponovno zapečatenje ključa FDE, zaupni navidezni računalnik preide v način obnovitve. Priporočljivo je, da znova ustvarite takšne stare zaupne navidezne računalnike, da dobite nova potrdila.

Kaj je treba upoštevati za gostujoči navidezni računalnik Azure

Posodobitve varnega zagona za Linux v navideznih računalnikih Azure vključujejo dve komponenti:

  • Potrdila za varni zagon v navidezni vdelani programski opremi (nameščena ročno prek orodja, ki je na voljo z operacijskim sistemom, ali samodejno prek varnostnih posodobitev)
  • Posodobitve vmesne in nalagalnika zagona za Linux (upravlja dobavitelj distribucije)

Postopki posodabljanja se začnejo v gostujočem operacijskem sistemu in temeljijo na podpori platforme, da za uporabo posodobitev s preverjeno pristnostjo za spremenljivke varnega zagona.

Ko ugotovite primere, ki se upoštevujejo, inventarizirajte svoje okolje, da ugotovite, kateri navidezni računalniki potrebujejo posodobitve.

Obvezni ukrepi

Za vse gostujoče navidezne računalnike Azure:

  • Preverite, ali so potrdila za varni zagon 2023 prisotna v navidezni vdelani programski opremi vmesnika UEFI

Načini preverjanja

Po posodobitvi in ponovnem zagonu zaženite te ukaze. V uspešno posodobljenem navideznem računalniku vsak ukaz vrne ustrezno vrstico. Če ukaz ne vrne nobenega izhoda, ustrezno potrdilo 2023 ni na voljo in posodobitev ni bila uporabljena – pred uporabo znova preverite korake posodobitve.

Tako preverjanja DB kot tudi KEK morata vrniti vrstico. Uspešno posodobljen računalnik prikaže potrdilo 2023 DB in 2023 KEK potrdilo .

Uporaba mokutil

Opomba

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Uporaba orodja efitools

Opomba

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Opomba

  • Če 'mokutil' ni nameščen, ga namestite iz standardnih skladišč vaše distribucije ali pa namesto tega uporabite 'efi-readvar -v db` / `efi-readvar -v KEK'.
  • Za zaupne navidezne računalnike ne zaženite ročne posodobitve na podlagi tega rezultata – znova ustvarite navidezni računalnik, kot je opisano v priporočilih storitve Azure za zaupne navidezne računalnike.

Posodobitev verige zagona sistema Linux

Po uspešni posodobitvi vdelane programske opreme je varno uporabiti posodobitve vmesne programske opreme pri dobaviteljih distribucije Linux.

Druga priporočila glede virov storitve Azure

Vir Azure Ustvarjeno pred aprilom 2024 Dejanje, zahtevano za TVM Dejanje, zahtevano za CVM
Varnostna kopija/posnetek Da Zagon navideznega računalnika, uporaba posodobitev, vnovičen zajem Ponovno ustvarite CVM, znova zajemite
Varnostna kopija/posnetek Ne Zahtevano ni nobeno dejanje Zahtevano ni nobeno dejanje
Compute Gallery image Da Uvajanje, posodabljanje, vnovični zajem Ponovno ustvarite CVM, znova zajemite
Compute Gallery image Ne Zahtevano ni nobeno dejanje Zahtevano ni nobeno dejanje

Nadzor stanja posodobitev

Preverite posodobitve v gostujočem operacijskem sistemu:

  • Preverite uspešen zagon po posodobitvah
  • Potrdite, da so v vdelani programski opremi prisotna potrdila za varni zagon

Pristopi k spremljanju in preverjanju veljavnosti se lahko razlikujejo glede na distribucijo Linux, zato se posvetujte s svojim prodajalcem distribucije.

Za zaupanja vredne zagonske virtualne računalnike:

  • Vse posodobitve morajo biti uporabljene v pravilnem vrstnem redu.

    Pomembno

    Vedno posodobite vdelano programsko opremo varnega zagona (spremenljivke UEFI), preden posodobite podložnik ali zagonski nalagalnik.

  • Priporočljivo je, da najprej znova zaženete VM, da se prepričate, da izvaja najnovejšo vdelano programsko opremo in preverite uspešen zagon.

  • Sprožite posodobitve iz operacijskega sistema Linux za gostujoče virtualne računalnike, kjer je to potrebno, v skladu s priporočenimi navodili in orodji vašega ponudnika distribucije.

  • Če naletite na napake pri posodobitvi KEK ali DB in se niste najprej znova zagnali, znova zaženite VM, da se prepričate, da izvaja najnovejšo vdelano programsko opremo, in poskusite znova posodobiti KEK in DB.

  • Če posodobite podložko pred prvo posodobitvijo vdelane programske opreme, lahko pride do napake pri zagonu.

Za zaupne virtualne računalnike:

Uvajanje posodobitev

Posodobitve potrdil za varen zagon za Linux v virtualnih računalnikih Azure se zaženejo v gostujočem operacijskem sistemu. Te posodobitve se razlikujejo glede na prodajalce distribucij, zato se morajo stranke najprej posvetovati s svojim prodajalcem distribucije o priporočeni metodi.

Opomba

  • Tukaj so navedeni samo prodajalci operacijskega sistema Linux, ki so objavili navodila za posodobitev potrdila za varni zagon. Ta seznam se posodablja, ko dodatni prodajalci objavijo svoje smernice.
  • Če prodajalec vaše distribucije ni naveden, to ne pomeni, da to ne vpliva na vaš virtualni računalnik – to pomeni, da prodajalec še ni objavil navodil za posodobitev KEK in DB za varni zagon 2023. V tem primeru se za priporočeni način obrnite na prodajalca distribucije ali uporabite enega od priročnih alternativnih načinov posodobitve vdelane programske opreme , ki so opisani spodaj.

Priporočila potrjenih prodajalcev operacijskega sistema Linux:

Priporočila Azure za zaupne virtualne računalnike:

  • Število CVM, ustvarjenih pred aprilom 2024, je zelo nizko. Če je vaš zaupni VM eden redkih, ki nima novih potrdil, sledite korakom za vnovično ustvarjanje CVM.

Alternativni načini posodobitve vdelane programske opreme

Opomba

Preden poskusite posodobiti spremenljivke UEFI neposredno na proizvodnih VM-jih, lahko stranke uporabijo predlogo za hitri začetek Azure za simulacijo Linux Trusted Launch VM s starejšimi potrdili UEFI CA 2011.

Pomembno

Načini ročnega posodabljanja vdelane programske opreme v tem razdelku so alternativa metodologiji, ki jo priporoča prodajalec distribucije, in se z njo medsebojno izključujejo. Uporabite metodo prodajalca operacijskega sistema, kadar je na voljo (glejte Priporočila prodajalcev operacijskega sistema Linux). Spodnje ročne načine uporabite samo, če vaš prodajalec ni objavil navodil ali če vas prodajalec izrecno napoti na. Za isti virtualni računalnik ne uporabite metode dobavitelja in ročne metode.  Za posodobitve morate uporabiti le en alternativni način (fwupd, efitools ali sbsigntools) – ni nujno, da zaženete vse tri.  Vsaka distribucija Linux vsebuje različna orodja in različice ter prek različnih repozitorijev, zato je pomembno, da sledite navodilom vašega operacijskega sistema Linux.

Opomba

Razpoložljivost in različice orodij se razlikujejo glede na distribucijo in vir orodja.

Druga možnost 1: Uporaba fwupd

Prepričajte se, da je v VM nameščena različica fwupd 2.0.8 ali novejša različica.

Če želite posodobiti KEK in DB, zaženite te ukaze s fwupdmgr:

Opomba

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Alternativa 2: Uporaba efitools

  • Prenesite pakete posodobitev DB in KEK za Azure.

    Opomba

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Preverite MD5 ali SHA1 prenesenih dvojiških datotek – natančno se morajo ujemati s temi:

    Opomba

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Uporabite efi-updatevar za namestitev posodobitvenih paketov

    Opomba

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Alternativa 3: Uporaba sbsigntools

  • Prenesite in preverite, DBUpdate3P2023.binKEKUpdate_Microsoft_PK1.bin kot je opisano v »Alternativa 2: Uporaba efitools« zgoraj.

  • Uporabite pripomoček sbkeysync sbsigntools za namestitev paketov posodobitev:

    Opomba

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Ukrepi za ublažitev v primeru napak pri zagonu

V primeru neuspeha, kot je neuspeh zagona po posodobitvi spremenljivke UEFI, lahko nastavitve UEFI ponastavite z enim od spodnjih načinov:

  1. Obnovite varnostno kopijo, ki ste jo ustvarili pred začetkom postopka ročnega posodabljenja.
  2. Pretvorite zaupanja vreden zagon VM v Standard VM in znova uporabite varnostno vrsto zaupanja vrednega zagona na VM. (Več podrobnosti tukaj: Omogočanje zaupanja vrednega zagona na obstoječih virtualnih računalnikih Gen2 – Azure Virtual Machines | Microsoft Learn)
  3. Izvozite vhd operacijski sistem v račun za shranjevanje, ustvarite sliko galerije iz vhd in uvedite VM z različico slike galerije .

Izjava o omejitvi odgovornosti za informacije tretjih oseb

Izdelke neodvisnih proizvajalcev, opisane v tem članku, so izdelala od Microsofta neodvisna podjetja. Ne dajemo nobenih jamstev, implicitnih ali drugačnih, o učinkovitosti delovanju ali zanesljivosti teh izdelkov.

Zagotavljamo podatke za stik drugih ponudnikov za pomoč pri iskanju tehnične podpore. Ti podatki za stik se lahko spremenijo brez obvestila. Ne jamčimo za točnost teh podatkov za stik drugih ponudnikov.

Dnevnik sprememb

Spremeni datum Spremeni opis
Julij 29, 2026 Večje revizije za jasnost zahtevanih dejanj in alternativne metode posodabljanja vdelane programske opreme.
Junij 18, 2026 Referenčne povezave so bile dodane v razdelek "Priporočila prodajalcev operacijskega sistema Linux".