Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

UEFI Secure Boot en 023 AL2

AL2La versión 023 es compatible con UEFI Secure Boot a partir de la versión 2023.1. Debes usar AL2 023 con EC2 instancias de Amazon que admitan UEFI y UEFI Secure Boot. Para obtener más información, consulta los requisitos para lanzar una EC2 instancia de Amazon en modo de arranque UEFI en la Guía del EC2 usuario de Amazon.

AL2Las instancias 0.23 con el arranque seguro UEFI habilitado solo aceptan código a nivel de núcleo, incluido el núcleo de Linux y los módulos, que estén firmados por Amazon de este modo, puede asegurarse de que su instancia solo ejecute códigos de nivel de núcleo firmados por. AWS

Para obtener más información sobre EC2 las instancias de Amazon y UEFI Secure Boot, consulte UEFI Secure Boot para EC2 instancias de Amazon en la Guía EC2 del usuario de Amazon.

Activa el arranque seguro de UEFI en 023 AL2

El estándar AL2 023 AMIs incorpora un gestor de arranque y un núcleo firmados con nuestras claves. Puede habilitar el arranque seguro de UEFI inscribiendo las instancias existentes o creándolas AMIs con el arranque seguro de UEFI prehabilitado registrando una imagen a partir de una instantánea. El arranque seguro UEFI no está activado de forma predeterminada en la versión 023 estándar. AL2 AMIs

El modo de arranque AL2 023 AMIs está configurado para garantizar uefi-preferred que las instancias que se inicien con ellos AMIs utilicen el firmware UEFI, si el tipo de instancia es compatible con UEFI. Si el tipo de instancia no admite UEFI, la instancia se lanza con firmware de la BIOS anterior. Cuando una instancia se ejecuta en el modo BIOS anterior, no se aplica el Arranque seguro UEFI.

Para obtener más información sobre los modos de arranque de AMI en EC2 las instancias de Amazon, consulte Comportamiento de lanzamiento de instancias con los modos de EC2 arranque de Amazon en la Guía del EC2 usuario de Amazon.

Inscripción de una instancia existente

Para inscribir una instancia existente, rellene las variables de firmware UEFI específicas con un conjunto de claves que permitan al firmware comprobar el cargador de arranque comprobar el código kernel en el siguiente arranque.

Registrar imagen de una instantánea

Al registrar una AMI desde una instantánea de un volumen raíz de Amazon EBS mediante la EC2 register-image API de Amazon, puede aprovisionar la AMI con un blob binario que contenga el estado del almacén de variables UEFI. Al proporcionar el AL2 023UefiData, habilita el arranque seguro de UEFI y no necesita seguir los pasos de la sección anterior.

Para obtener más información sobre la creación y el uso de un blob binario, consulte Crear un blob binario que contenga un almacén de variables precargado en la Guía del usuario de Amazon EC2 .

AL2023 proporciona un blob binario prediseñado que se puede utilizar directamente en las instancias de Amazon. EC2 El blob binario se encuentra en /usr/share/amazon-linux-sb-keys/uefi.vars en una instancia en ejecución. Este blob lo proporciona el paquete amazon-linux-sb-keys RPM, que se instala de forma predeterminada en la versión AL2 023 a partir de la versión 2023.1 AMIs .

Al registrar una imagen, le recomendamos que utilice el parámetro BootMode de la API RegisterImage establecido en uefi. Esto le permite activar NitroTPM configurando el parámetro TpmSupport en v2.0. Además, al configurar BootMode en uefi garantiza que el Arranque seguro UEFI esté habilitado y no se pueda deshabilitar de forma accidental al cambiar a un tipo de instancia que no sea compatible con UEFI.

Para obtener más información sobre NitroTPM, consulte NitroTPM para instancias de Amazon en la EC2 Guía del usuario de Amazon EC2 .

Actualizaciones de revocación

Puede ser necesario que Amazon Linux distribuya una nueva versión del cargador de arranque grub2 o del código kernel de Linux firmada con las claves actualizadas. En ese caso, es posible que sea necesario revocar la clave anterior para evitar que los errores explotables de versiones anteriores del cargador de arranque pasen por alto el proceso de verificación de Arranque seguro UEFI.

Las actualizaciones de paquetes a los paquetes grub2 o kernel siempre actualizan automáticamente la lista de revocaciones en el almacén de variables UEFI de la instancia en ejecución. Esto significa que, con el Arranque seguro UEFI habilitado, ya no se puede ejecutar la versión anterior de un paquete después de instalar una actualización de seguridad para el paquete.

Cómo funciona UEFI Secure Boot en 023 AL2

A diferencia de otras distribuciones de Linux, Amazon Linux no proporciona un componente adicional, denominado shim, que sirva de cargador de arranque de primera fase. El shim generalmente está firmado con claves de Microsoft. Por ejemplo, en las distribuciones de Linux con el shim, el shim carga el cargador de arranque grub2, que utiliza el propio código del shim para verificar el código kernel de Linux. Además, el shim mantiene su propio conjunto de claves y revocaciones en la base de datos de claves del propietario de la máquina (MOK), ubicada en el almacén de variables UEFI y controlada con la herramienta mokutil.

Amazon Linux no proporciona un shim. Como el propietario de la AMI controla las variables UEFI, este paso intermedio no es necesario y afectaría negativamente a los tiempos de inicio y arranque. Además, optamos por no confiar en las claves de ningún proveedor de forma predeterminada, para reducir la posibilidad de que se puedan ejecutar archivos binarios no deseados. Como siempre, los clientes pueden incluir archivos binarios si así lo desean.

Con Amazon Linux, UEFI carga y verifica directamente nuestro cargador de arranque grub2. El cargador de arranque grub2 se modificó para usar UEFI para verificar el código kernel de Linux después de cargarlo. Por lo tanto, el código kernel de Linux se verifica con los mismos certificados almacenados en la variable db UEFI normal (base de datos de claves autorizadas) y se comprueba con la misma variable dbx (base de datos de revocaciones) que el cargador de arranque y otros archivos binarios de UEFI. Al proporcionar nuestras propias claves PK y KEK, que controlan el acceso a la base de datos db y a la base de datos dbx, podemos distribuir las actualizaciones y revocaciones firmadas según sea necesario sin un intermediario como el shim.

Para obtener más información sobre el arranque seguro de UEFI, consulte Cómo funciona el arranque seguro de UEFI con las EC2 instancias de Amazon en la Guía EC2 del usuario de Amazon.

Inscribir sus propias claves

Como se ha documentado en la sección anterior, Amazon Linux no requiere un arranque seguro shim para UEFI en Amazon EC2. Al leer la documentación de otras distribuciones de Linux, puede encontrar documentación sobre cómo administrar la base de datos de claves de propietario de la máquina (MOK)mokutil, que no está presente en la versión 023. AL2 Los entornos MOK shim y MOK evitan algunas limitaciones de la inscripción de claves en el firmware UEFI que no se aplican a la forma en que Amazon EC2 implementa UEFI Secure Boot. Con Amazon EC2 existen mecanismos para manipular directamente y con facilidad las claves del almacén de variables UEFI.

Si quiere registrar sus propias claves, puede hacerlo manipulando el almacén de variables dentro de una instancia existente (consulte Añadir claves al almacén de variables desde la instancia) o creando un blob binario precargado (consulte Crear un blob binario que contenga un almacén de variables precargado).