PowerFlex: Włącz wymuszanie bezpiecznego rozruchu dla węzłów obliczeniowych PowerFlex

Aby włączyć bezpieczny rozruch w węzłach obliczeniowych Dell PowerFlex, należy spełnić następujące wymagania wstępne:

• Tryb rozruchu musi być ustawiony na UEFI (Unified Extensible Firmware Interface) w ustawieniach >rozruchu systemu.

  Uwaga: Jeśli host nie jest w tym trybie, zmiana tego trybu może być niemożliwa bez ponownej instalacji systemu operacyjnego.
• Na serwerze musi być zainstalowany moduł TPM (Trusted Platform Module ) 2.0.
• Aby dany model PowerEdge umożliwiał bezpieczne uruchamianie, system BIOS powinien mieć wersję wymaganą dla określonego modelu serwera PowerEdge. Informacje można znaleźć w witrynie pomocy technicznej firmy Dell.
• Do włączenia funkcji Secure Boot wymagane jest żądanie RPQ. Skontaktuj się z przedstawicielem handlowym firmy Dell Technologies w celu oceny i włączenia opcji bezpiecznego rozruchu dla węzłów PowerFlex poprzez proces żądania kwalifikacji produktu (RPQ).
• Przed rozpoczęciem wdrażania za pomocą programu PowerFlex Manager należy wyłączyć bezpieczny rozruch w kontrolerze iDRAC. Jeśli jest włączona, wdrożenie zakończy się niepowodzeniem. Bezpieczny rozruch należy włączyć dopiero po wdrożeniu.

Konfiguracja kontrolera iDRAC Dell PowerEdge w celu bezpiecznego rozruchu:

1. Zaloguj się do interfejsu sieciowego kontrolera iDRAC i przejdź do opcji Configuration > BIOS Settings System Security >
2. Włącz opcję TPM Security
3. Rozwiń opcję Ustawienia zaawansowane modułu TPM i ustaw opcję wyboru algorytmu TPM2 na SHA256.
4. Włącz opcję Secure Boot

5. Kliknij przycisk Zastosuj u dołu ekranu ustawień zabezpieczeń systemu .
6. Kliknij przycisk Zastosuj i uruchom ponownie w lewym dolnym rogu ekranu.

Włącz bezpieczny rozruch dla ESXi:

Częściowe wsparcie: Zaufany rozruch z atestem.

• Bezpieczny rozruch UEFI: Weryfikacja modułu ładującego i modułu jądra podczas rozruchu
• Pomiary TPM: Przechowywanie wartości skrótu rozruchu w rejestrach PCR modułu TPM (używanych do zaświadczania)
• Szyfrowanie wspierane przez moduł TPM: Zrzut maszyny wirtualnej, vSAN i rdzenia
• Zaświadczenie vCenter: Wykrywa, czy host został uruchomiony w stanie nieautoryzowanym lub niezaufanym
• Obsługa vTPM na maszynach wirtualnych: Maszyny wirtualne mogą mieć wirtualny moduł TPM dla funkcji zabezpieczeń gościa (wymaga również serwera vCenter KMS)

Pełne wsparcie: Blokada kontroli wykonania

• Zawiera wszystkie funkcje częściowego wsparcia
• Podpisane egzekwowanie VIB: Zapewnienie, że pakiety VIB nie są naruszane
  • Można zainstalować tylko podpisane pakiety VIB VMware
  • Podpisane pakiety VIB można ładować tylko podczas rozruchu ESXi

Włącz częściową obsługę w oprogramowaniu ESXi:

W przypadku węzłów szafy serwerowej i urządzenia PowerFlex bezpieczny rozruch musi być włączony po wdrożeniu węzłów przez aplikację PowerFlex Manager. Jeśli włączono ją wcześniej, wdrożenia przy użyciu programu PowerFlex Manager kończą się niepowodzeniem. 

Włącz częściową pomoc techniczną, wykonaj następujące kroki:

1. Uruchom skrypt sprawdzania poprawności: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

   • Jeśli test zakończy się pomyślnie, pojawi się komunikat "Można włączyć bezpieczny rozruch".
   • W przypadku niepowodzenia wyświetlana jest lista niepodpisanych pakietów VIB. Należy je usunąć przed kontynuowaniem; w przeciwnym razie host wyświetli fioletowy ekran podczas następnego rozruchu.
2. Włącz protokół SSH na hoście ESXi i połącz się z hostem ESXi za pomocą dowolnego klienta SSH jako użytkownik główny.
3. Sprawdź poziom zabezpieczeń: 

esxcli system settings encryption get

3. • Dane wyjściowe powinny być następujące: 
     • Tryb: None
     • Zainstalowane pakiety VIB: False
     • Wymagaj bezpiecznego rozruchu: False
4. Włączanie trybu TPM: 

esxcli system settings encryption set --mode=TPM --require-secure-boot=true

5. Uruchom ponownie hosta.
6. Gdy host powróci do trybu online, sprawdź poziom zabezpieczeń: 

esxcli system settings encryption get

6. • Dane wyjściowe powinny teraz być następujące:
     • Tryb: TPM,
     • Zainstalowane pakiety VIB: False
     • Secure Boot: True
7. Zsynchronizuj konfigurację z bootbankiem: 

/bin/backup.sh 0

Włącz pełną obsługę w oprogramowaniu ESXi:

1. Włącz protokół SSH na hoście ESXi i połącz się z hostem ESXi za pomocą dowolnego klienta SSH jako użytkownik główny .
2. Sprawdź poziom zabezpieczeń:
   • Dane wyjściowe powinny być następujące: 
     • Tryb: TPM,
     • Zainstalowane pakiety VIB: False
     • Wymagaj bezpiecznego rozruchu: True
3. Jeśli dane wyjściowe nie są zgodne z powyższymi, włącz częściową pomoc techniczną, postępując zgodnie z powyższymi instrukcjami przed kontynuowaniem.
   1. Pobierz bieżące ustawienia, uruchamiając:

esxcli system settings encryption get

1. 2. Zezwalaj jądru na akceptowanie wymuszania VIB:

esxcli system settings kernel set -s execInstalledOnly -v TRUE

1. 3. Wyłącz i ponownie włącz hosta (nie używaj ponownego uruchamiania).
   4. Włącz wymuszanie VIB, uruchamiając: 

esxcli system settings encryption set --require-exec-installed-only=T

1. 5. Uruchom ponownie węzeł, aby wymusić podpisane pakiety VIB.
   6. Po ponownym przejściu węzła w tryb online sprawdź poziom zabezpieczeń: esxcli system settings encryption get
   7. Zsynchronizuj uruchomioną konfigurację z bootbankiem: 

/bin/backup.sh 0

Klucze kopii zapasowych i konfiguracje:

1. Połącz się z hostem ESXi za pomocą protokołu SSH jako użytkownik root
2. Wyświetlanie klucza kopii zapasowej i kopiowanie go do bezpiecznej lokalizacji poza węzłem 

esxcli system settings encryption recovery list

3. • Skopiuj klucz odzyskiwania (druga kolumna) i wklej go do pliku tekstowego, aby zapisać go do odzyskania w przyszłości. Identyfikator odzyskiwania można pominąć.
4. Wygeneruj pakiet kopii zapasowych na poziomie hosta:

vim-cmd hostsvc/firmware/backup_config

5. Skopiuj podany adres URL, aby pobrać pakiet kopii zapasowych. Zapisz ten pakiet w tej samej lokalizacji, w którym znajduje się plik tekstowy kopii zapasowej klucza odzyskiwania. 

Włącz bezpieczny rozruch w systemie Linux:

1. Połącz się z hostem Linux przez SSH jako użytkownik root i sprawdź, czy bezpieczny rozruch jest włączony na komputerze: 

mokutil --sb-stat

1. • Dane wyjściowe powinny mieć SecureBoot enabled
2. Jeśli klient SDC jest już zainstalowany, przejdź do kroku 4.
3. Jeśli nie zainstalowano SDC, zainstaluj pakiet RPM SDC. Instalacja powinna zakończyć się pomyślnie, ale scini Nie można załadować sterownika. Powinien pojawić się komunikat o błędzie "scini service failed because the control process exited with error code".
   • Aby sprawdzić szczegółowe informacje o błędzie:
     • Uruchom 

systemctl status scini.service

• • • Uruchom

journalctl -xe

3. • Jeśli zaznaczysz dmesg, powinieneś zobaczyć: Wczytywanie modułu z niedostępnym kluczem zostało odrzucone
4. Zmień katalog na /bin/emc/scaleio/scini_sync/certs/. W tym katalogu znajdują się certyfikaty SDC.
5. Uruchom następujące polecenie, aby potwierdzić, że są one prawidłowe i nie wygasły

openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2

6. Jeśli certyfikat jest prawidłowy, użyj mokutil took Aby zaimportować plik .der programu NetWorker. Wymagane jest wygenerowanie hasła

mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)

7. Jeśli certyfikat dostarczony z pakietem SDC wygasł, certyfikat może zostać dostarczony w .pem format, który należy przekonwertować na .der sformatuj przy użyciu następującego polecenia:

openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

 W razie potrzeby skontaktuj się z zespołem pomocy technicznej firmy Dell, aby uzyskać nowy podpisany pakiet SDC i powiązane certyfikaty 

8. Uruchom ponownie hosta.
9. Przed uruchomieniem systemu operacyjnego Linux podczas rozruchu należy przejść do menu zarządzania narzędziem Perform MOK . Wprowadź zarządzanie MOK i wybierz pozycję Zarejestruj MOK.

10. Zaloguj się do hosta po ponownym uruchomieniu i uruchom to polecenie, aby sprawdzić, czy klient SDC jest uruchomiony i działa:

systemctl status scini.service