Dell Networking: Inicialização segura do Sonic OS UEFI.
Summary: As plataformas Dell PowerSwitch selecionadas incluem um Trusted Platform Module (TPM}) que fornece serviços de criptografia baseados em hardware para aplicativos, como UEFI Secure Boot. UEFI Secure Boot é um componente do BIOS que verifica e garante a integridade do arquivo do sistema operacional de rede {NOS} para inicializar. O Dell PowerSwitch inclui o TPM e tem a inicialização segura UEFI ativada por padrão no BIOS para permitir que somente os NOSs assinados sejam instalados com êxito. ...
Instructions
O Enterprise SONiC 4.2.0 e versões posteriores são compatíveis com o UEFI Secure Boot nas seguintes plataformas:
- Z9864F-ON
- Z9664F-ON
- Z9432F-ON
- S5448F-ON
- S4348F-ON
- S4348T-ON
Nessas plataformas, por padrão, a inicialização segura UEFI está ativada. Se você tiver desativado o UEFI Secure Boot anteriormente, para usar o Secure Boot, use o seguinte procedimento para ativá-lo:
Para verificar se o dispositivo é compatível com inicialização segura ou ativado, use o seguinte comando:
Em uma plataforma não compatível com inicialização segura:
sonic# show platform sbstatus
SecureBoot is not supported on this system
Em uma plataforma compatível com inicialização segura:
sonic# show platform sbstatus
SecureBoot is Disabled
Pré-requisitos para usar a inicialização segura
- Ative a inicialização segura no firmware do BIOS.
- Se você já estiver executando o Enterprise SONiC 4.1.x ou uma versão anterior e quiser usar o recurso de inicialização segura na versão 4.2.0 ou posterior, instale o Enterprise SONiC usando apenas o ONIE.
- Os nomes de arquivo da imagem e do arquivo de assinatura são os mesmos.
Ative a inicialização segura da UEFI.
CAUTION: Before entering BIOS to enable Secure Boot, backup your existing configuration file.Para ativar a UEFI Secure Boot no firmware do BIOS:
- Conecte um console à porta serial do switch.
- Desligue e ligue o switch.
- Após a conclusão dos testes POWER-ON, pressione DEL ou F2 quando solicitado para entrar no menu do BIOS. Se for solicitada uma senha, digite a etiqueta de serviço do switch seguida por um sinal de exclamação (!); Por exemplo: G0K8PK2!
- Quando o menu do BIOS for exibido, abra a guia Security, selecione Enable Secure Boot, pressione Enter e selecione Enabled.
- Pressione F4 para salvar a alteração, saia do menu do BIOS e reinicialize o switch.
Figura 1. Ative a inicialização segura no menu do BIOS.
Se você não quiser usar o Secure Boot.
Se você não quiser usar o UEFI Secure Boot ou se usar o Enterprise SONiC 4.1.x ou uma versão anterior, desative o UEFI Secure Boot para instalar ou inicializar o Enterprise SONiC em switches habilitados para TPM, como o Z9864F-ON, Z9432F-ON, Z9664F-ON e S5448F-ON.
Mensagens de erro
ONIE:~ # onie-nos-install http://ip-address/tftpboot/SONIC/dell_sonic/Enterprise_SONiC_OS_4.5.1_Enterprise_Premium.bin
discover: Rescue mode detected. No discover stopped.
Connecting to ip-address
installer 100% |*******************************| 937M 0:00:00 ETA
ONIE: Executing installer: http://ip-address/tftpboot/SONIC/dell_sonic/Enterprise_SONiC_OS_4.5.1_Enterprise_Premium.bin
Failure: sig file is not found
ONIE:~ #Version 2.19.1266. Copyright (C) 2018 American Megatrends, Inc.
BIOS Date: 12/05/2018 22:05:29 Ver: 0ACHI032
Press <DEL> or <F2> to enter setup.
Entering Setup...Figura 2. Mensagem de erro de inicialização segura.
Desative a inicialização segura da UEFI.
Para desativar o UEFI Secure Boot no firmware do BIOS:
- Conecte um console à porta serial do switch.
- Desligue e ligue o switch.
- Após a conclusão dos testes POWER-ON, pressione DEL ou F2 quando solicitado para entrar no menu do BIOS. Se for solicitada uma senha, digite a etiqueta de serviço do switch seguida por um sinal de exclamação (!); Por exemplo: G0K8PK2!
- Quando o menu do BIOS for exibido, abra a guia Security, selecione Enable Secure Boot e pressione Enter para desativar o UEFI Secure Boot.
Figura 3. Menu do BIOS.
Pressione F4 para salvar a alteração, saia do menu do BIOS e reinicialize o switch.