PowerFlex. Включить принудительное применение безопасной загрузки для вычислительных узлов PowerFlex

Чтобы обеспечить безопасную загрузку на вычислительных узлах Dell PowerFlex, необходимо выполнить следующие необходимые условия:

• В параметрах загрузки BIOS > системы для режима загрузки необходимо установить значение Unified Extensible Firmware Interface (UEFI).

  Примечание. Если хост не находится в этом режиме, возможно, вы не сможете изменить его, не переустановив операционную систему.
• На сервере должен быть установлен доверенный платформенный модуль (TPM) 2.0.
• Версия BIOS должна быть обязательной для конкретной модели PowerEdge, чтобы включить безопасную загрузку. Информацию можно найти на сайте поддержки Dell.
• Чтобы включить безопасную загрузку, требуется RPQ. Обратитесь к менеджеру Dell Technologies, чтобы оценить и включить возможность безопасной загрузки для узлов PowerFlex с помощью процесса запроса квалификации продукта (RPQ).
• Перед выполнением развертываний с помощью PowerFlex Manager необходимо отключить безопасную загрузку в iDRAC. Если она включена, развертывание завершится сбоем. Безопасная загрузка должна быть включена только после развертывания.

Настройка Dell PowerEdge iDRAC для безопасной загрузки

1. Выполните вход в веб-интерфейс iDRAC и перейдите в раздел Configuration > BIOS Settings > System Security
2. Установите параметр «Безопасность TPM» в значение Вкл.
3. Разверните раздел Дополнительные настройки TPM и установите для параметра «Выбор алгоритма TPM2 » значение SHA256
4. Установите для безопасной загрузки значение Включено

5. Нажмите кнопку Apply в нижней части экрана параметров безопасности системы.
6. Нажмите кнопку Применить и перезагрузить в левом нижнем углу экрана.

Включение безопасной загрузки для ESXi:

Частичная поддержка: Надежная загрузка с аттестацией.

• Безопасная загрузка UEFI: Проверка загрузчика и модулей ядра при загрузке
• Измерения модуля TPM: Хранение измерений хэша загрузки в файлах PCR TPM (используется для аттестации)
• Шифрование с поддержкой TPM: Виртуальная машина, vSAN и дамп ядра
• Аттестация vCenter: Определяет, загружался ли хост в измененном или ненадежном состоянии
• Поддержка vTPM на виртуальных машинах: Виртуальным машинам можно предоставить виртуальный модуль TPM для гостевых функций безопасности (также требуется сервер KMS vCenter)

Полная поддержка: Блокировка контроля исполнения

• Включает в себя все функции частичной поддержки
• Принудительное применение подписанного VIB: Предотвращает несанкционированный доступ к файлам VIB
  • Можно установить только подписанные VMware пакеты VIB
  • Подписанные пакеты VIB могут быть загружены только во время загрузки ESXi

Включение частичной поддержки в ESXi:

Для узлов PowerFlex Rack и Appliance после развертывания узлов PowerFlex Manager должна быть включена безопасная загрузка. Если он включен заранее, развертывания с помощью PowerFlex Manager завершаются сбоем. 

Чтобы включить частичную поддержку, выполните следующие действия.

1. Запустите сценарий проверки: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

   • Если проверка пройдена, появится сообщение «Secure Boot CAN BE Enabled».
   • В случае сбоя выводится список неподписанных пакетов VIB. Прежде чем продолжить, удалите их, иначе при следующей загрузке хост появится фиолетовый экран.
2. Включите протокол SSH на хосте ESXi и используйте любой клиент SSH для подключения к хосту ESXi в качестве пользователя root.
3. Проверьте уровень безопасности: 

esxcli system settings encryption get

3. • В выводе должно отображаться: 
     • Режим: None
     • Установленные пакеты VIB: False
     • Требуется безопасная загрузка: False
4. Включение режима TPM. 

esxcli system settings encryption set --mode=TPM --require-secure-boot=true

5. Перезагрузите хост.
6. После возврата хоста в режим онлайн проверьте уровень безопасности: 

esxcli system settings encryption get

6. • Теперь в выходных данных должно отображаться:
     • Режим: TPM
     • Установленные пакеты VIB: False
     • Secure Boot. Истинный
7. Синхронизируйте конфигурацию с загрузкой: 

/bin/backup.sh 0

Включите полную поддержку в ESXi:

1. Включите протокол SSH на хосте ESXi и используйте любой клиент SSH для подключения к хосту ESXi в качестве пользователя root .
2. Проверьте уровень безопасности:
   • В выводе должно отображаться: 
     • Режим: TPM
     • Установленные пакеты VIB: False
     • Требуется безопасная загрузка: Истинный
3. Если выходные данные не совпадают с вышеуказанными, включите частичную поддержку, следуя приведенным выше инструкциям, прежде чем продолжить.
   1. Получите текущие настройки, выполнив команду:

esxcli system settings encryption get

1. 2. Разрешить ядру принимать принудительное применение VIB:

esxcli system settings kernel set -s execInstalledOnly -v TRUE

1. 3. Выключите хост, а затем включите его (не используйте перезагрузку).
   4. Включите принудительное применение VIB, выполнив команду: 

esxcli system settings encryption set --require-exec-installed-only=T

1. 5. Перезагрузите узел, чтобы принудительно использовать подписанные пакеты VIB.
   6. После возврата узла в режим онлайн проверьте уровень безопасности: esxcli system settings encryption get
   7. Синхронизируйте текущую конфигурацию с загрузочным банком: 

/bin/backup.sh 0

Резервные ключи и конфигурации:

1. Подключитесь через SSH к хосту ESXi в качестве пользователя root
2. Отображение резервного ключа и копирование в безопасное место за пределами узла 

esxcli system settings encryption recovery list

3. • Скопируйте ключ восстановления (второй столбец) и вставьте в текстовый файл, чтобы сохранить его для последующего восстановления. Идентификатор восстановления может быть опущен.
4. Создание пакета резервного копирования на уровне хоста:

vim-cmd hostsvc/firmware/backup_config

5. Скопируйте предоставленный URL-адрес для скачивания пакета резервного копирования. Храните этот пакет в том же расположении, где находится текстовый файл резервной копии ключа восстановления. 

Включение безопасной загрузки для Linux:

1. Подключитесь по SSH к хосту Linux в качестве пользователя root и убедитесь, что на вашем компьютере включена безопасная загрузка: 

mokutil --sb-stat

1. • Выходные данные должны иметь SecureBoot enabled
2. Если SDC уже установлен, перейдите к шагу 4.
3. Если SDC не установлен, установите SDC RPM. Установка должна пройти успешно, но scini Драйвер должен не загрузиться. Должно появиться сообщение об ошибке "scini service failed because the control process exited with error code".
   • Чтобы проверить сведения об ошибке, выполните следующие действия.
     • Запустите 

systemctl status scini.service

• • • Запустите

journalctl -xe

3. • Если вы проверите dmesg, вы должны увидеть: Загрузка модуля с недоступным ключом отклонена
4. Измените каталог на /bin/emc/scaleio/scini_sync/certs/. В этом каталоге находятся сертификаты SDC.
5. Выполните следующую команду, чтобы убедиться, что они действительны и срок их действия не истек

openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2

6. Если сертификат действителен, используйте команду mokutil took Чтобы импортировать .der . Вам необходимо сгенерировать пароль

mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)

7. Если срок действия сертификата, поставляемого с пакетом SDC, истек, сертификат может быть предоставлен в .pem формат, который необходимо преобразовать в .der с помощью следующей команды:

openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

 При необходимости обратитесь в службу поддержки Dell, чтобы получить новый подписанный пакет SDC и связанные сертификаты 

8. Перезагрузите хост.
9. Перед загрузкой ОС Linux перед загрузкой необходимо войти в меню Perform MOK management . Введите управление MOK и выберите Регистрация MOK.

10. Войдите на хост после перезагрузки и выполните эту команду, чтобы убедиться, что SDC включен и работает:

systemctl status scini.service