Posodobitve potrdil za varni zagon za Linux v navideznih računalnikih Azure
Velja za
Izvirni datum objave: 12. junij 2026
ID zbirke znanja: 5103014
Velja za:
Navidezni računalniki Azure Trusted Launch in zaupni navidezni računalniki s sistemom Linux z omogočenim varnim zagonom
Celoten seznam podprtih operacijskih sistemov za zaupanja vreden zagon najdete na tej povezavi: Zaupanja vreden zagon za navidezne računalnike Azure – navidezni računalniki Azure | Microsoft Learn
Celoten seznam podprtih operacijskih sistemov za zaupne navidezne računalnike najdete na tej povezavi: Več informacij o zaupnih navideznih računalnikih Azure | Microsoft Learn
V tem članku
Uvod
Varni zagon je varnostna funkcija vdelane programske opreme vmesnika UEFI, ki pomaga zagotoviti, da se med zaporedjem zagona navideznega računalnika izvaja le zaupanja vredna, digitalno podpisana programska oprema. Potrdila za Microsoftov varni zagon, izdana v letu 2011, začnejo potekati junija 2026.
Če želite ohraniti zaščito varnega zagona in nadaljevati servisiranje postopka zgodnjega zagona, je treba zaupanja vreden zagon Azure z nameščenim sistemom Linux posodobiti s potrdili Secure Boot 2023 DB in KEK v navidezni vdelani programski opremi UEFI. Zaupne navidezne računalnike za Linux v storitvi Azure s starimi potrdili je treba ustvariti znova.
Če navidezni računalnik po poteku še naprej temelji na potrdilih 2011, se bo še vedno zagnal. Vendar pa ne bo več prejemal novih varnostnih zaščit v obliki posodobitev vmesnih nastavitev ter prihodnjih potrdil in preklicev. Stranke z navideznimi računalniki, ki nimajo posodobljenih potrdil, morajo še naprej sodelovati s ponudniki distribucij, da posodobijo svoja potrdila tudi po datumu poteka.
Prepoznavanje scenarijev, za katere je treba izvesti dejanja
Preglejte spodnje scenarije in ugotovite, ali morate ukrepati:
-
Zaupanja vredni začetni navidezni računalniki za Linux (TVM) ali zaupni navidezni računalniki (CVM), ustvarjeni pred aprilom 2024
-
Slike v galeriji izračunov Azure, zajete iz starejših (pred aprilom 2024) zaupanja vrednega zagona za Linux ali zaupnih navideznih računalnikov
-
Posnetki ali varnostne kopije zaupanja vrednih zagonskih ali zaupnih navideznih računalnikov za Linux, ustvarjenih pred aprilom 2024
-
Zaupni navidezni računalniki, ustvarjeni pred aprilom 2024 iz zbirk dvojiških podatkov, uvoženi kot varen disk.
Trusted Launch in Zaupni navidezni računalniki, ustvarjeni po aprilu 2024, običajno že vključujejo potrdila za varni zagon 2023 v navidezni vdelani programski opremi UEFI.
Opomba: Zaupnih navideznih računalnikov s sistemom Linux, ustvarjenih pred aprilom 2024, ne smete ročno posodabljati, saj zaupno šifriranje diska temelji na vrednosti PCR7 modula vTPM, ki je izračunana na podlagi spremenljivk varnega zagona. Če posodobite potrdila za varni zagon, ne da bi zagotovili ponovno zapečatenje ključa FDE, zaupni navidezni računalnik preide v način obnovitve. Priporočljivo je, da znova ustvarite takšne stare zaupne navidezne računalnike, da dobite nova potrdila.
Kaj je treba upoštevati za gostujoči navidezni računalnik Azure
Posodobitve varnega zagona za Linux v navideznih računalnikih Azure vključujejo dve komponenti:
-
Potrdila za varni zagon v navidezni vdelani programski opremi (nameščena ročno prek orodja, ki je na voljo z operacijskim sistemom, ali samodejno prek varnostnih posodobitev)
-
Posodobitve vmesne in nalagalnika zagona za Linux (upravlja dobavitelj distribucije)
Postopki posodabljanja se začnejo v gostujočem operacijskem sistemu in temeljijo na podpori platforme, da za uporabo posodobitev s preverjeno pristnostjo za spremenljivke varnega zagona.
Ko ugotovite primere, ki se upoštevujejo, inventarizirajte svoje okolje, da ugotovite, kateri navidezni računalniki potrebujejo posodobitve.
Obvezni ukrepi
Za vse gostujoče navidezne računalnike Azure:
-
Preverite, ali so potrdila za varni zagon 2023 prisotna v navidezni vdelani programski opremi vmesnika UEFI
Načini preverjanja
Po posodobitvi in ponovnem zagonu zaženite te ukaze. V uspešno posodobljenem navideznem računalniku vsak ukaz vrne ustrezno vrstico. Če ukaz ne vrne nobenega izhoda, ustrezno potrdilo 2023 ni na voljo in posodobitev ni bila uporabljena – pred uporabo znova preverite korake posodobitve.
Tako preverjanja DB kot tudi KEK morata vrniti vrstico. Uspešno posodobljen računalnik prikaže potrdilo 2023 DB in 2023 KEK potrdilo .
Uporaba mokutil
-
Mokutil --DB | grep "UEFI CA 2023"
-
CN = Microsoft UEFI CA 2023
-
Mokutil --KEK | grep "KEK 2K CA 2023"
-
CN = Microsoft Corporation KEK 2K, CA 2023
Uporaba orodja efitools
-
efi-readvar -v db | grep "UEFI CA 2023"
-
Microsoft UEFI CA 2023
-
efi-readvar -v KEK | grep "KEK 2K CA 2023"
-
Microsoft Corporation KEK 2K CA 2023
Opombe:
-
Če 'mokutil' ni nameščen, ga namestite iz standardnih skladišč vaše distribucije ali pa namesto tega uporabite 'efi-readvar -v db' / 'efi-readvar -v KEK'.
-
Za zaupne navidezne računalnike ne zaženite ročne posodobitve na podlagi tega rezultata – znova ustvarite navidezni računalnik, kot je opisano v priporočilih storitve Azure za zaupne navidezne računalnike.
Posodobitev verige zagona sistema Linux
Po uspešni posodobitvi vdelane programske opreme je varno uporabiti posodobitve vmesne programske opreme pri dobaviteljih distribucije Linux.
Druga priporočila glede virov storitve Azure
|
Vir Azure |
Ustvarjeno pred aprilom 2024 |
Dejanje, zahtevano za TVM |
Dejanje, zahtevano za CVM |
|---|---|---|---|
|
Varnostna kopija/posnetek |
Da |
Zagon navideznega računalnika, uporaba posodobitev, vnovičen zajem |
Ponovno ustvarite CVM, znova zajemite |
|
Varnostna kopija/posnetek |
Ne |
Zahtevano ni nobeno dejanje |
Zahtevano ni nobeno dejanje |
|
Compute Gallery image |
Da |
Uvajanje, posodabljanje, vnovični zajem |
Ponovno ustvarite CVM, znova zajemite |
|
Compute Gallery image |
Ne |
Zahtevano ni nobeno dejanje |
Zahtevano ni nobeno dejanje |
Nadzor stanja posodobitev
Preverite posodobitve v gostujočem operacijskem sistemu:
-
Preverite uspešen zagon po posodobitvah
-
Potrdite, da so v vdelani programski opremi prisotna potrdila za varni zagon
Pristopi k spremljanju in preverjanju veljavnosti se lahko razlikujejo glede na distribucijo Linux, zato se morate obrniti na svojega dobavitelja distribucije.
Za zaupanja vredne navidezne računalnike za zagon:
-
Vse posodobitve morajo biti uvedene v pravilnem vrstnem redu.
Pomembno: Pred posodobitvijo vmesne posodobitve ali nalagalnika zagona vedno posodobite vdelano programsko opremo varnega zagona (spremenljivke UEFI).
-
Priporočljivo je, da navidezni računalnik najprej znova zaženete, da se prepričate, da je v njem nameščena najnovejša vdelana programska oprema, in preverite, ali je bil zagon uspešen.
-
Po potrebi sprožite posodobitve v operacijskem sistemu gostujočega navideznega računalnika Linux v skladu s priporočenimi navodili in orodji prodajalca.
-
Če pride do napak pri posodabljanju KEK ali DB in niste prej izvedli ponovnega zagona, znova zaženite navidezni računalnik in se prepričajte, da je v njem nameščena najnovejša vdelana programska oprema, ter poskusite znova posodobiti KEK in DB.
-
Če pred prvo posodobitvijo vdelane programske opreme posodobite vstavitev, lahko pride do napake pri zagonu.
Za zaupne navidezne računalnike:
-
Večina zaupnih navideznih računalnikov že ima nova potrdila. Za zaupne navidezne računalnike brez potrdil za varni zagon 2023 upoštevajte navodila spodaj v razdelku Priporočila storitve Azure za zaupne navidezne računalnike.
Uvajanje posodobitev
Posodobitve potrdil za varni zagon za Linux v navideznih računalnikih Azure se sprožijo znotraj gostujočega operacijskega sistema. Te posodobitve se razlikujejo glede na prodajalce distribucij, zato se morajo stranke najprej posvetovati s svojim dobaviteljem distribucije glede priporočenega načina.
Opombe:
-
Tukaj so navedeni le ponudniki operacijskega sistema Linux, ki so objavili navodila za posodobitev potrdila za varni zagon. Ta seznam se posodablja, ko novi dobavitelji objavijo svoja navodila.
-
Če dobavitelja vaše distribucije ni na seznamu, to ne pomeni, da to ne vpliva na vaš navidezni računalnik – to pomeni, da dobavitelj še ni objavil navodil za posodobitev KEK in DB za varni zagon 2023. V tem primeru se obrnite na prodajalca distribucije in jim posredujte priporočeni način ali uporabite enega od spodaj opisanih ročnih načinov za posodobitev vdelane programske opreme .
Priporočila odobrenih proizvajalcev operacijskega sistema Linux:
-
Azure Linux (CBL-Mariner) – preklopite na Azure Linux 3 ali novejšo različico
-
AlmaLinux – varni zagon UEFI: wiki za prehod potrdila Microsoft 2023
-
Debian – spremembe overitelja digitalnih potrdil za varni zagon Wiki
-
Red Hat (RHEL) – uporaba fwupd za včlanitev potrdila Microsoft UEFI CA 2023 v zbirki znanja
Priporočila storitve Azure za zaupne navidezne računalnike:
-
Število CVM-jev, ustvarjenih pred aprilom 2024, je zelo nizko. Če je vaš zaupni navidezni računalnik eden redkih, ki nima novih potrdil, sledite korakom za vnovično ustvarjanje CVM-ja.
Nadomestni načini posodobitve vdelane programske opreme
Opomba: Preden preskusijo posodobitve spremenljivke UEFI neposredno na proizvodnih navideznih računalnikih, lahko stranke s predlogo za hitri začetek storitve Azure simulirajo navidezni računalnik z zaupanja vrednim zagonom sistema Linux s starejšimi potrdili vmesnika digitalnih potrdil vmesnika UEFI iz leta 2011.
Pomembno: Načini ročne posodobitve vdelane programske opreme v tem razdelku so alternativa priporočeni metodologiji dobavitelja distribucije in se z njo medsebojno izključujejo. Najprej uporabite metodo dobavitelja operacijskega sistema, ko je na voljo (glejte priporočila dobaviteljev operacijskega sistema Linux). Spodnje ročne načine uporabite le, če dobavitelj ni objavil navodil ali če vam dobavitelj to izrecno napove. Za isti navidezni računalnik ne uporabite načina dobavitelja in ročnega načina. Za posodobitve morate uporabiti le en drug način (fwupd, efitools ali sbsigntools) – ni treba zagnati vseh treh. Vsaka distribucija Linux vključuje različna orodja in različice ter prek različnih skladišč, zato je pomembno, da sledite navodilom, ki jih ponuja vaš operacijski sistem Linux.
Opomba: Razpoložljivost orodja in različice se razlikujejo glede na distribucijo in vir orodja.
1. možnost: uporaba fwupd
Prepričajte se, da je v navideznem računalniku nameščena različica fwupd 2.0.8 ali novejša.
Če želite posodobiti tako KEK kot tudi DB, zaženite te ukaze s funkcijo fwupdmgr:
Sudo FWUPDMGR Osveževanje
Posodobitev Sudo FWUPDMGR
2. nadomestna možnost: uporaba orodja efitools
-
Prenesite pakete posodobitev DB in KEK za Azure.
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
-
Preverite MD5 ali SHA1 prenesenih dvojiških vrednosti – ti se morajo natančno ujemati s tem:
sha1sum *.bin
87cc5bb2efe9b59c6ad9f717a78e190bf1a19191e8 DBUpdate3P2023.bin
D9a2fa28017653c26afc3d1b5c001adae9dc16a6a6 KEKUpdate_Microsoft_PK1.bin
md5sum *.bin
ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
-
Namestitev paketov posodobitev uporabite orodje efi-updatevar
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
vnovični zagon sudo
3. nadomestna možnost: uporaba orodja sbsigntools
-
Prenesite in preverite DBUpdate3P2023.bin in KEKUpdate_Microsoft_PK1.bin, kot je opisano v zgornji razdelek »2. alternativa: Uporaba orodja efitools«.
-
Za namestitev paketov posodobitev uporabite pripomoček sbkeysync sbsigntools:
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --podrobno
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
vnovični zagon sudo
Koraki za ublažitev posledic v primeru napak pri zagonu
V primeru scenarija napake, kot je napaka pri zagonu po posodobitvi spremenljivke UEFI, lahko ponastavite nastavitve UEFI na enega od spodnjih načinov:
-
Obnovite varnostno kopijo, ki ste jo ustvarili pred začetkom postopka ročnega posodabljanja.
-
Pretvorite zaupanja vreden navidezni računalnik za zagon v Standardni navidezni računalnik in znova uporabite vrsto varnosti zaupanja vrednega zagona v navideznem računalniku. (Več podrobnosti najdete tukaj: Omogočanje zaupanja vrednega zagona na obstoječih navideznih računalnikih Gen2 – navidezni računalniki Azure | Microsoft Learn)
-
Izvozite navidezno trdi disk operacijskega sistema v račun shrambe, ustvarite slikogalerije iz navideznega trdega diska in uvedite navidezni računalnik z različico slike galerije.
Zavrnitev odgovornosti glede informacij tretjih oseb
Izdelke neodvisnih proizvajalcev, opisane v tem članku, so izdelala od Microsofta neodvisna podjetja. Ne dajemo nobenih jamstev, implicitnih ali drugačnih, o učinkovitosti delovanju ali zanesljivosti teh izdelkov.
Zagotavljamo podatke za stik drugih ponudnikov za pomoč pri iskanju tehnične podpore. Ti podatki za stik se lahko spremenijo brez obvestila. Ne jamčimo za točnost teh podatkov za stik drugih ponudnikov.
Dnevnik sprememb
|
Spremenite datum |
Opis spremembe |
|
29. julija 2026 |
Večje revizije za večjo jasnost zahtevanih dejanj in alternativne metode posodobitve vdelane programske opreme. |
|
18. junij 2026 |
Referenčne povezave so bile dodane v razdelek "Priporočila proizvajalcev operacijskega sistema Linux". |