Gemessene Boot-Zusatzpaket

March 19, 2019

Beitrag von:

Das Gemessene Boot Supplemental Pack ermöglicht es Kunden, Schlüsselkomponenten ihrer Hosts beim Booten zu messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel-Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.

Dieses Ergänzungspaket steht auf der Seite zum Download zur Verfügung.

Hinweis:

Das gemessene Boot Supplemental Pack steht Kunden oder Kunden zur Verfügung, die über ihre Berechtigung für virtuelle Apps und Desktops Zugriff haben.

Hintergrund

Nach der Installation dieses Supplement-Pakets, wenn ein Host als nächstes startet, nimmt Intel TXT Messungen von Systemkomponenten auf niedriger Ebene (wie Firmware, BIOS, Xen-Hypervisor, dom0-Kernel und dom0 initrd) und speichert sie an einem sicheren Speicherort auf dem Host, der als Trusted bekannt ist. Plattformmodul (TPM). Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Remote-Bescheinigungslösung, um diese Messungen sicher zu erfassen.

Fernbescheinigung

Remote-Attestation-Lösungen arbeiten, indem eine Verbindung zu einem Host hergestellt wird, der sich in einem sauberen Zustand befindet. Es kann remote und sicher das TPM des Hosts nach einer Liste von Low-Level-Schlüsselsystemmessungen abfragen. Es speichert diese Messungen in einer ‘White-Liste’ oder ‘bekannt gut’ Messliste.

An dieser Stelle sammelt die Remote-Bescheinigungssoftware regelmäßig wichtige Systemmessungen und vergleicht sie mit ihrer „bekannten“ Liste.

Ein Host wird in den folgenden Fällen als „nicht vertrauenswürdig“ angesehen:

Wenn die Remote-Bescheinigungssoftware nicht in der Lage ist, die Messungen zu erfassen
Wenn sich die Messungen ändern
Wenn die kryptografischen Schlüssel ungültig sind

In diesem Fall wird der Kunde benachrichtigt. Hochrangige Orchestrierungssoftware wie CloudStack, OpenStack oder Workload Balancing Software können intelligente Sicherheitsvorgänge auf den betroffenen Hosts durchführen.

Bereite den Host vor

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:

Richten Sie den Host so ein, dass er im Legacymodus bootet.

Hinweis:

Der UEFI-Boot-Modus wird beim gemessenen Booten nicht unterstützt.
Aktivieren Sie Intel AES-NI.
Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.
Löschen Sie das TPM.

Mit dieser Aktion werden alle vorherigen Einstellungen und Kennwörter gelöscht, die mit dem TPM verknüpft sind, damit das Supplemental Pack die Kontrolle über das TPM übernehmen kann.

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.
TPMaktivieren.
Aktivieren Sie Intel TXT.

Hinweis:

Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.

Die BIOS-Einstellungen variieren je nach Hardwarehersteller. In der Hardwaredokumentation erfahren Sie, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die Befehlszeilenschnittstelle, um dieses Supplemental Pack zu installieren. Wie bei jedem Software-Update empfiehlt Kunden, ihre Daten zu sichern, bevor sie dieses Zusatzpaket anwenden.

Supplemental Packs können innerhalb einer Zip -Datei übertragen werden. Wenn das Supplemental Pack ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das ISO-Image der Festplatte zu erzeugen), bevor Sie die folgenden Schritte ausführen.

Installation auf einem laufenden System

Laden Sie das Supplemental Pack direkt auf den zu aktualisierenden Host herunter.

empfiehlt, es im/tmp/ Verzeichnis zu speichern.

Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.
Verwenden Sie XenCenter, um auf die Konsole des Hosts zuzugreifen, oder melden Sie sich mithilfe der Secure Shell (SSH) direkt an.
Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:
```
xe-install-supplemental-pack /tmp/--measured-boot.iso
```
Wenn Sie das ISO auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:
```
mkdir -p /mnt/tmp
mounten /dev/ < path to cd-rom > /mnt/tmp
cd /mnt/tmp/
./install.sh
CD /
umount /mnt/tmp
```
Damit die Änderungen wirksam werden, starten Sie Ihren Host neu.

Neuinstallation

Wenn Sie dieses Supplemental Pack zusätzlich zu einer früheren Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie einY , wenn Sie während derxe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwortxenroot mit einem abschließenden Zeilenumbruch auf festgelegt. Dieser nachfolgende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautetxenroot.

Ein benutzerdefiniertes Kennwort kann festgelegt werden/opt/xensource/tpm/config und muss ein sha1-Hash eines Nur-Text-Kennworts sein, das mit generiert werden kannecho -n <password | sha1sum . Wenn in dieser Befehlszeile weggelassen-n wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Asset-Tags festlegen

Asset-Tags können mit der/opt/xensource/tpm/xentpm Binärdatei mit den--tpm_set_asset_tag Methoden--tpm_clear_asset_tag und festgelegt werden, oder auch mit dem Management-APItpm -Plug-In mit demtpm_set_asset_tag (ein ‘tag’ -Argument) undtpm_clear_asset_tag Funktionen:

< tag_sha1 >/opt/xensource/tpm/xentpm — tpm_set_asset_tag
/opt/xensource/tpm/xentpm — tpm_clear_asset_tag
< tag_sha1 >xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_set_asset_tag args: tag =
xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Weitere Informationen

Informationen zum Herunterladen des Zusatzpakets für gemessene Boot finden Sie auf der Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Ergänzungspakets haben, wenden Sie sich an dentechnischen Support.

Dokumentation finden Sie auf der Citrix Produktdokumentation-Website.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Gemessene Boot-Zusatzpaket

March 19, 2019

Beitrag von:

March 19, 2019

Beitrag von:

War dieser Artikel hilfreich?