Pack supplémentaire de démarrage mesuré

March 19, 2019

Contributeur:

Le pack supplémentaire de démarrage mesuré permet aux clients de mesurer les composants clés de leurs hôtes au démarrage. Il fournit également des API qui permettent aux solutions d’attestation à distance de collecter ces mesures en toute sécurité. Ce pack supplémentaire est compatible avec les systèmes informatiques Intel qui prennent en charge la technologie TXT ( Trusted Execution Technology ).

Ce pack supplémentaire est disponible en téléchargement à partir de la page.

Note :

Le pack supplémentaire de démarrage mesuré est disponible pour les clients ou les clients qui ont accès à via leur droit d’accès aux applications virtuelles et aux postes de travail.

Arrière-Plan

Après l’installation de ce Supplemental Pack, lorsqu’un hôte démarre suivant, le TXT d’Intel prend des mesures de composants système de bas niveau (tels que le firmware, le BIOS, l’hyperviseur Xen, le noyau dom0 et l’initrd dom0) et les stocke dans un emplacement sécurisé sur l’hôte connu sous le nom de Module de plateforme (TPM). Une nouvelle interface est fournie aux clients, telle qu’une solution d’attestation à distance, pour collecter ces mesures en toute sécurité.

Attestation à distance

Les solutions d’attestation à distance fonctionnent en se connectant à un hôte qui est dans un état propre « bon connu ». Il peut interroger à distance et en toute sécurité le module de plateforme sécurisée de l’ hôte pour obtenir une liste de mesures système de clé de bas niveau. Il stocke ces mesures dans une liste de mesures « liste blanche » ou « bien connu ».

À ce stade, le logiciel d’attestation à distance recueille périodiquement les mesures clés du système et les compare à sa liste des « produits connus ».

Un hôte est considéré comme « non fiable » dans les cas suivants :

Si le logiciel d’attestation à distance n’est pas en mesure de collecter les mesures
Si les mesures changent
Si les clés cryptographiques ne sont pas valides

Dans ce cas, le client est averti. Les logiciels d’orchestration de plus haut niveau, tels que CloudStack, OpenStack ou les logiciels d’équilibrage de la charge de travail, peuvent effectuer des opérations de sécurité intelligentes sur les hôtes concernés.

Préparer l’ hôte

Pour que ce pack supplémentaire fonctionne correctement, avant de tenter de collecter des données, modifiez les paramètres suivants dans le BIOS de leur hôte :

Configurez l’ hôte pour qu’il démarre en mode hérité.

Note :

Le mode de démarrage UEFI n’est pas pris en charge avec le démarrage mesuré.
Activer Intel AES-NI.
Activez TPM Security ou Activez avec des mesures de pré-démarrage .
Effacer le module de plateforme sécurisée.

Cette action efface tous les paramètres et mots de passe précédents associés au module de plateforme sécurisée pour permettre au pack supplémentaire de démarrage mesuré de prendre le contrôle du module de plateforme sécurisée.

Note :

Un redémarrage est nécessaire après cette étape.
Activer le module de plateforme sécurisée.
Activer Intel TXT.

Note :

Un redémarrage est nécessaire après les étapes 5 et 6.

Les paramètres du BIOS varient en fonction du fabricant du matériel. Consultez la documentation matérielle pour savoir comment activer le TPM et le TXT pour leur environnement spécifique.

Installer le pack supplémentaire

Utilisez l’ interface de ligne de commande pour installer ce pack supplémentaire. Comme pour toute mise à jour logicielle, conseille aux clients de sauvegarder leurs données avant d’appliquer ce pack supplémentaire.

Les packs supplémentaires peuvent être transmis dans un fichier zip . Si l’ISO du Pack Supplemental est contenu dans un fichier zip, décompressez ce fichier zip (pour produire l’image ISO du disque), avant d’effectuer les étapes ci-dessous.

Installation sur un système en cours d’exécution

Téléchargez le Pack Supplemental directement sur l’ hôte pour être mis à jour.

recommande de le stocker dans le/tmp/ répertoire.

Vous pouvez également télécharger le fichier sur un ordinateur connecté à Internet et graver l’image ISO sur un CD.
Utilisez XenCenter pour accéder à la console de l’ hôte ou utilisez Secure Shell (SSH) pour ouvrir une session directement.
La méthode la plus simple consiste à installer directement à partir du fichier ISO. Saisissez ce qui suit :
```
xe-install-supplemental-pack /tmp/--measured-boot.iso
```
Sinon, si vous avez choisi de graver l’ISO sur un CD, vous devez installer le disque. Par exemple, pour un CD-ROM, entrez les éléments suivants :
```
mkdir -p /mnt/tmp
montage /dev/ < path to cd-rom > /mnt/tmp
cd /mnt/tmp/
./install.sh
cd /
umount /mnt/tmp
```
Pour que les modifications prennent effet, redémarrez votre hôte.

Réinstallation

Si vous installez ce pack supplémentaire sur une version précédente, confirmez l’écrasement de l’installation précédente. EntrezY lorsque vous y êtes invité lors dexe-install-supplemental-pack l’installation.

Mise à jour du mot de passe par défaut

Dans les versions précédentes du pack supplémentaire, le mot de passe par défaut était définixenroot avec une nouvelle ligne de fin. Cette nouvelle ligne de fin a été supprimée pour le mot de passe par défaut dans cette version du pack supplémentaire, le nouveau mot de passe par défaut étantxenroot.

Un mot de passe personnalisé peut être défini/opt/xensource/tpm/config et doit être un hachage sha1 d’un mot de passe en texte brut, qui peut être généré avececho -n <password | sha1sum . Si cette ligne de commande-n est omise, une nouvelle ligne de fin est incluse dans le mot de passe.

Définir des balises d’actifs

Les balises d’actifs peuvent être définies à l’aide du/opt/xensource/tpm/xentpm binaire avec les--tpm_set_asset_tag méthodes--tpm_clear_asset_tag et, ou peuvent également être définies à l’aide dutpm plug-in API de gestion avec letpm_set_asset_tag (en prenant un argument ‘tag’) et lestpm_clear_asset_tag fonctions :

< tag_sha1 >/opt/xensource/tpm/xentpm — tpm_set_asset_tag
/opt/xensource/tpm/xentpm — tpm_clear_asset_tag
< tag_sha1 >xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_set_asset_tag args : tag =
xe host-call-plugin uuid = < host_uuid > plugin = tpm fn = tpm_clear_asset_tag

Note :

Un redémarrage est nécessaire après cette étape.

Plus d’informations

Pour télécharger le pack supplémentaire de démarrage mesuré, consultez la page.

Si vous rencontrez des difficultés lors de l’installation de ce pack supplémentaire, contactez le support technique de .

Pour accéder à la documentation de , visitez le site Web de la Documentation produit .

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Pack supplémentaire de démarrage mesuré

March 19, 2019

Contributeur:

March 19, 2019

Contributeur:

Cela vous a-t-il été utile ?