Dell Networking – Sonic OS UEFI Secure Boot.
Summary: Vybrané platformy Dell PowerSwitch zahrnují modul TPM (Trusted Platform Module), který aplikacím poskytuje služby hardwarového šifrování, například UEFI Secure Boot. UEFI Secure Boot je součást systému BIOS, která ověřuje a zajišťuje integritu souborů síťového operačního systému {NOS}, který se má spustit. Přepínač Dell PowerSwitch obsahuje modul TPM a ve výchozím nastavení systému BIOS má povolené zabezpečené spouštění UEFI, které umožňuje úspěšnou instalaci pouze podepsaných systémů NOS. ...
Instructions
Enterprise SONiC 4.2.0 a novější verze podporují funkci UEFI Secure Boot na následujících platformách:
- Z9864F-ON
- Z9664F-ON
- Z9432F-ON
- S5448F-ON
- S4348F-ON
- Přepínač S4348T-ON
Na těchto platformách je ve výchozím nastavení povoleno zabezpečené spouštění UEFI. Pokud jste dříve funkci UEFI Secure Boot zakázali a chcete ji používat, povolte ji následujícím postupem:
Chcete-li zkontrolovat, zda vaše zařízení podporuje zabezpečené spouštění, použijte následující příkaz:
Na platformě, která nepodporuje zabezpečené spouštění:
sonic# show platform sbstatus
SecureBoot is not supported on this system
Na platformě, která podporuje zabezpečené spouštění:
sonic# show platform sbstatus
SecureBoot is Disabled
Předpoklady pro použití zabezpečeného spouštění
- Povolte bezpečné spouštění ve firmwaru systému BIOS.
- Pokud již používáte Enterprise SONiC 4.1.x nebo starší verzi a chtěli byste použít funkci Secure Boot ve verzi 4.2.0 nebo novější, nainstalujte Enterprise SONiC pouze pomocí prostředí ONIE.
- Názvy souborů obrázku a souboru podpisu jsou stejné.
Povolit bezpečné spouštění UEFI.
CAUTION: Before entering BIOS to enable Secure Boot, backup your existing configuration file.Povolení funkce UEFI Secure Boot ve firmwaru systému BIOS:
- Připojte konzoli k sériovému portu na přepínači.
- Zapněte a vypněte přepínač.
- Po dokončení testů POWER-ON stiskněte po zobrazení výzvy klávesu DEL nebo F2 a přejděte do nabídky systému BIOS. Pokud budete vyzváni k zadání hesla, zadejte výrobní číslo přepínače a poté vykřičník (!); Například: G0K8PK2!
- Po zobrazení nabídky systému BIOS otevřete kartu Security, vyberte možnost Enable Secure Boot, stiskněte Enter a vyberte možnost Enabled.
- Stisknutím klávesy F4 uložte změny, ukončete nabídku systému BIOS a restartujte přepínač.
Obrázek 1 V nabídce systému BIOS povolte možnost Secure Boot.
Pokud nechcete používat funkci Secure Boot.
Pokud nechcete používat funkci UEFI Secure Boot nebo pokud používáte Enterprise SONiC 4.1.x či starší verzi, zakažte funkci UEFI Secure Boot a nainstalujte nebo spusťte Enterprise SONiC na přepínačích s povoleným modulem TPM, jako jsou Z9864F-ON, Z9432F-ON, Z9664F-ON a S5448F-ON.
Chybové zprávy
ONIE:~ # onie-nos-install http://ip-address/tftpboot/SONIC/dell_sonic/Enterprise_SONiC_OS_4.5.1_Enterprise_Premium.bin
discover: Rescue mode detected. No discover stopped.
Connecting to ip-address
installer 100% |*******************************| 937M 0:00:00 ETA
ONIE: Executing installer: http://ip-address/tftpboot/SONIC/dell_sonic/Enterprise_SONiC_OS_4.5.1_Enterprise_Premium.bin
Failure: sig file is not found
ONIE:~ #Version 2.19.1266. Copyright (C) 2018 American Megatrends, Inc.
BIOS Date: 12/05/2018 22:05:29 Ver: 0ACHI032
Press <DEL> or <F2> to enter setup.
Entering Setup...Obrázek 2. Chybová zpráva funkce Secure Boot
Zakažte funkci UEFI Secure Boot.
Zakázání funkce UEFI Secure Boot ve firmwaru systému BIOS:
- Připojte konzoli k sériovému portu na přepínači.
- Zapněte a vypněte přepínač.
- Po dokončení testů POWER-ON stiskněte po zobrazení výzvy klávesu DEL nebo F2 a přejděte do nabídky systému BIOS. Pokud budete vyzváni k zadání hesla, zadejte výrobní číslo přepínače a poté vykřičník (!); Například: G0K8PK2!
- Po zobrazení nabídky systému BIOS otevřete kartu Security, vyberte možnost Enable Secure Boot a stisknutím klávesy Enter zakažte funkci UEFI Secure Boot.
Obrázek 3. Nabídka systému BIOS.
Stisknutím klávesy F4 uložte změny, ukončete nabídku systému BIOS a restartujte přepínač.