| Предупреждение |
|---|
Описанная ниже технология secureboot не является сертифицированным средством защиты загрузки операционной системы и не рекомендуется к применению. Установка оперативных обновлений на системы, защищенные с помощью secureboot, не поддерживается. Для защиты загрузки ОС рекомендуется использовать сертифицированные аппаратно-программные модули доверенной загрузки, см. С какими АПМДЗ совместима Astra Linux Special Edition. Штатным сертифицированным в составе Astra Linux средством защиты является Замкнутая Программная Среда (ЗПС). |
| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Введение
Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи
загружаемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.
Некоторые термины:
- Platform Key (PK)
- — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления
- ;
- Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.
| Информация |
|---|
Данная статья применима к:
|
Подготовка компьютера
Установка SecureBoot
| Информация | ||
|---|---|---|
| ||
Установка Astra Linux и последующие действия должны производится только в режиме UEFI режиме (т.е с отключенными в БИОСе BIOS-е компьютера режимами CSM и Legacy). |
Подробнее про установку Astra Linux в режиме UEFI см.:
Для создания загрузочного носителя требуется USB-накопитель с емкостью не менее 1ГБ. |
Установка SecureBoot
Для:- Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 (потребуется подключение базового репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования );
- Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6;
- Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями;
- Astra Linux Common Edition 2.11.* - 2.12;
необходимо наличие установленного пакета необходимо установить пакет astra-safepolicy версии 1.0.32 и выше.
Для AstraLinux SE (ОС СН Смоленск ) версии 1.5 и AstraLinux CE (ОС ОН Орёл) версии 1.11 необходимо установить пакеты efitools и sbsigntool из репозитория обновления и пакет astra-safepolicy версии 1.0.32 и выше.
В системах Astra Linux Special Edition с установленным актуальным обновлением пакет astra-safepolicy устанавливается автоматически, при необходимости установить его можно командой:
| Command |
|---|
| sudo apt install astra-safepolicy |
Дополнительно можно сразу установить необходимые пакеты (при наличии подключенных репозиториев пакетов эти пакеты будут автоматически установлены при первом запуске инструмента astra-secureboot):
| Command |
|---|
| sudo apt install astra-safepolicy efitools sbsigntool uuid-runtime |
Для:
- Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 без установленных оперативных обновлений;
- Astra Linux Common Edition 1.11
все пакеты необходимо установить вручную (команду см. выше).
Подключить USB-накопитель.
Проверить имя подключенного накопителя, например, командой:
| Command |
|---|
| lsblk |
| Предупреждение |
|---|
| При выполнении дальнейших действий все данные на используемом накопителе будут удалены. |
Выполнить команду:
| Command |
|---|
| sudo astra-secureboot /dev/{usb_flash} |
После выполнения указанной команды:
- в каталоге /root/secureboot/key будут
- размещены все необходимые для работы ключи
- ;
- на указанном в команде USB-накопителе будет размещена загрузочная информация с необходимыми файлами.
Перезагрузить систему.
В БИОСе BIOS (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB;
Если все действия выполнены правильно сделали, то загрузка будет выполнена с USB-накопителя и должен загрузиться KeyTool.
После загрузки KeyTool:
В меню "KeyTool выбираем Edit Keys" выбрать пункт "Edit Keys" и нажать Enter.
В меню "Select Key to Manipulate" выбрать пункт "The Allowed Signatures Database (db)" и нажать Enter ;
В меню "Manipulating Contents of The Allowed Signatures Database (db)" выбрать пункт "Replace Keys";
Выбрать USB-накопитель, затем последовательно выбрать каталоги В нем выбираем db, затем Replace Keys, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> и выбрать файл db.auth;
Повторить действия Повторяем то же самое сначала для KEK, потом для PK, после выходим выбрав, соответственно, файлы KEK.auth и PK.auth;
Вернуться в главное меню двойным нажатием на Esc и выбираем Exit., выбирать Exit;
После перезагрузки войти в BIOS и включить После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot.
| Предупреждение | ||
|---|---|---|
| ||
| С включенным режимом SecureBoot будут не доступны режимы - Hibernate hibernate и Hybridhybrid-Sleepsleep. |
Отключение SecureBoot
Рекомендованный сценарий отключения SecureBoot:
- Удалить файл /etc/initramfs/post-update.d/update-efi-image;
- Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
- Переустановить загрузчик grub.
Последовательность команд:
| Command |
|---|
if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi |