Paquete suplementario de arranque medido

March 19, 2019

Contribución de:

El paquete complementario de arranque medido permite a los clientes medir los componentes clave de sus hosts en el momento del arranque. También proporciona API que permiten que las soluciones de autenticación remota recopilen estas mediciones de forma segura. Este paquete complementario es compatible con los sistemas informáticos Intel compatibles con Trusted Execution Technology (TXT).

Este paquete complementario está disponible para descargar desde la página.

Nota:

El paquete complementario de arranque medido está disponible para los clientes o aquellos que tienen acceso a través de sus derechos de aplicaciones virtuales y escritorios.

Fondo

Después de la instalación de este paquete complementario, cuando un host arranca a continuación, el TXT de Intel toma medidas de componentes de sistema de bajo nivel (como firmware, BIOS, hipervisor Xen, kernel dom0 y dom0 initrd) y los almacena en una ubicación segura en el host conocido como Módulo de plataforma (TPM). Se proporciona una nueva interfaz para los clientes, como una solución de certificación remota, para recopilar estas mediciones de forma segura.

Certificación remota

Las soluciones de autenticación remota funcionan conectándose a un host que se encuentra en un estado limpio “conocido”. Puede consultar de forma remota y segura el TPM del host para obtener una lista de mediciones clave del sistema de bajo nivel. Almacena estas medidas en una lista de medidas de “lista blanca” o “buena conocida”.

En este punto, el software de certificación remota recopila periódicamente las mediciones clave del sistema y las compara con su lista de “bienes conocidos”.

Un host se considera ‘no confiable’ en los siguientes casos:

Si el software de certificación remota no puede recopilar las mediciones
Si las medidas cambian
Si las claves criptográficas no son válidas

En este caso, se notificará al cliente. El software de orquestación de nivel superior, como CloudStack, OpenStack o software de equilibrio de carga de trabajo, puede realizar operaciones de seguridad inteligentes en los hosts afectados.

Preparar el host

Para que este paquete complementario funcione correctamente, antes de intentar recopilar datos, edite la siguiente configuración en el BIOS de su host:

Configure el host para que arranque en modo heredado.

Nota:

El modo de arranque UEFI no es compatible con el arranque medido.
Habilite Intel AES-NI.
Encienda TPM Security o enci enda con mediciones previas al arranque .
Despejen el TPM.

Esta acción borra cualquier configuración y contraseña anteriores asociados con el TPM para permitir que el paquete complementario de arranque medido tome el control del TPM.

Nota:

Se requiere un reinicio después de este paso.
Habilite TPM.
Habilite Intel TXT.

Nota:

Se requiere un reinicio después de los pasos 5 y 6.

La configuración del BIOS varía según el fabricante del hardware. Consulte la documentación de hardware para ver cómo habilitar TPM y TXT para su entorno específico.

Instalar el paquete complementario

Utilice la CLI para instalar este paquete complementario. Al igual que con cualquier actualización de software, aconseja a los clientes que hagan copias de seguridad de sus datos antes de aplicar este paquete complementario.

Los paquetes complementarios se pueden transmitir dentro de un archivo zip . Si la ISO del paquete complementario está contenida en un archivo zip, descomprima este archivo zip (para producir la imagen ISO del disco), antes de llevar a cabo los siguientes pasos.

Instalar en un sistema en ejecución

Descargue el paquete complementario directamente en el host que desea actualizar.

recomienda almacenarlo en el/tmp/ directorio.

Alternativamente, puede descargar el archivo en un equipo conectado a Internet y grabar la imagen ISO en un CD.
Utilice XenCenter para acceder a la consola del host o utilice Secure Shell (SSH) para iniciar sesión directamente.
El método más simple es instalar directamente desde el archivo ISO. Introduzca lo siguiente:
```
xe-install-suplemental-pack /tmp/--medired-boot.iso
```
Alternativamente, si elige grabar la ISO en un CD, debe montar el disco. Por ejemplo, para un CD-ROM, escriba lo siguiente:
```
mkdir -p /mnt/tmp
montar /dev/ < path to cd-rom > /mnt/tmp
cd /mnt/tmp/
./install.sh
cd /
umount /mnt/tmp
```
Para que los cambios surtan efecto, reinicie el host.

Reinstalación

Si va a instalar este paquete complementario encima de una versión anterior, confirme la sobrescritura de la instalación anterior. EscribaY cuando se le solicite durantexe-install-supplemental-pack la instalación.

Actualizar contraseña predeterminada

En versiones anteriores del paquete complementario, la contraseña predeterminada se estableció enxenroot con una nueva línea final. Esta nueva línea final se ha eliminado para la contraseña predeterminada en esta versión del paquete complementario con la nueva contraseña predeterminadaxenroot.

Se puede establecer una contraseña personalizada/opt/xensource/tpm/config y debe ser un hash sha1 de una contraseña de texto sin formato, que se puede generar conecho -n <password | sha1sum . Si-n se omite de esta línea de comandos, se incluye una nueva línea final en la contraseña.

Establecer etiquetas de activos

Las etiquetas de activos se pueden establecer utilizando el/opt/xensource/tpm/xentpm binario con los--tpm_set_asset_tag métodos--tpm_clear_asset_tag y, o también se pueden establecer mediante eltpm complemento API de administración con eltpm_set_asset_tag (tomando un argumento ‘etiqueta’) ytpm_clear_asset_tag funciones:

< tag_sha1 >/opt/xensource/tpm/xentpm — tpm_set_asset_tag
/opt/xensource/tpm/xentpm — tpm_clear_asset_tag
< tag_sha1 >xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_set_asset_tag args: tag =
xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_clear_asset_tag

Nota:

Se requiere un reinicio después de este paso.

Más información

Para descargar el paquete complementario de arranque medido, consulte la página.

Si tiene alguna dificultad para instalar este paquete suplementario, póngase en contacto con el servicio de soporte técnico .

Para obtener documentación, visite el sitio web Documentación del producto .

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Paquete suplementario de arranque medido

March 19, 2019

Contribución de:

March 19, 2019

Contribución de:

¿Le ha resultado útil?