- 什么是安全啟動(dòng)?
安全啟動(dòng)是 UEFI (Unified Extensible Firmware Interface) 中定義的功能,它定義了如何進(jìn)行固件驗(yàn)證以及固件與操作系統(tǒng)之間的接口(協(xié)議),從而保證整個(gè)系統(tǒng)啟動(dòng)過(guò)程的安全性。現(xiàn)在的服務(wù)器主板上都有一塊 TPM (Trusted Platform Module) 安全芯片,安全啟動(dòng)基于公鑰基礎(chǔ)設(shè)施(PKI Public Key Infrastructure)來(lái)驗(yàn)證固件代碼,利用 TPM 來(lái)實(shí)現(xiàn)固件代碼的數(shù)字簽名,通過(guò)數(shù)字簽名來(lái)保證所執(zhí)行的固件代碼都是可信的。
服務(wù)器開機(jī)時(shí)將執(zhí)行 UEFI 啟動(dòng)代碼,配置處理器、內(nèi)存、和硬件外圍設(shè)備,以便為執(zhí)行操作系統(tǒng)做好準(zhǔn)備。在切換到操作系統(tǒng)加載程序之前,UEFI 將檢查硬件外圍設(shè)備(如網(wǎng)卡、存儲(chǔ)控制器)中固件代碼的數(shù)字簽名,如果該簽名與UEFI 中的簽名數(shù)據(jù)庫(kù)匹配,則允許執(zhí)行該模塊。UEFI 簽名數(shù)據(jù)庫(kù)中包含“允許”和“禁止”列表,用于確定哪些設(shè)備可以執(zhí)行啟動(dòng)過(guò)程。這可以防止設(shè)備固件被注入惡意代碼,任何被篡改的代碼因?yàn)楦试S的數(shù)字簽名不相符,都會(huì)被拒絕執(zhí)行。
在網(wǎng)卡或 Raid 控制器固件中注入惡意代碼,有人會(huì)質(zhì)疑這可能嗎?安全的基本指導(dǎo)原則就是要堵上任何可能造成安全隱患的漏洞。盡管我們還沒有看到過(guò)相關(guān)案例,但是還是要確保所有的安全漏洞都被堵上了。那 UEFI 代碼自己的安全性如何來(lái)保證呢?UEFI 代碼也有數(shù)字簽名,是在刷固件代碼的時(shí)候檢查的。
UEFI 也定義了跟操作系統(tǒng)之間的接口,在運(yùn)行操作系統(tǒng)加載代碼之前,也需要檢查加載代碼數(shù)字簽名,只有認(rèn)證的加載代碼才能被執(zhí)行,保證啟動(dòng)的是一個(gè)可信的 OS。而上一代的系統(tǒng)固件 BIOS 則沒有這一套安全機(jī)制,它允許執(zhí)行任何加載代碼,這當(dāng)然是一個(gè)潛在的安全隱患。
當(dāng)年微軟推出 Windows 8(首個(gè)支持安全啟動(dòng)的 Windows 操作系統(tǒng)),曾經(jīng)要求各 PC 廠商在 UEFI 中僅放置微軟的數(shù)字簽名,從而只允許 PC 啟動(dòng) Windows 操作系統(tǒng),從而引起 Linux 廠商和用戶的一致抗議。所以現(xiàn)在的 UEFI 中多了一個(gè) Secure Boot 的選項(xiàng),如果 UEFI 中沒有相關(guān)的數(shù)字簽名,用戶可以選擇關(guān)閉安全啟動(dòng),從而可以繼續(xù)安裝和使用一個(gè)未經(jīng)認(rèn)證的操作系統(tǒng)。還有另一種選項(xiàng),有的服務(wù)器提供工具讓用戶自己向 UEFI 中寫入缺少的操作系統(tǒng)廠商數(shù)字簽名。
當(dāng)執(zhí)行權(quán)被交給 vSphere 之后,vSphere 也會(huì)進(jìn)行一系列的安全檢查,保證 vSphere 系統(tǒng)中沒有被注入惡意代碼。vSphere 在加載每一個(gè)驅(qū)動(dòng)程序之前,會(huì)檢查該驅(qū)動(dòng)的 VIB,如果發(fā)現(xiàn)某個(gè) VIB 的數(shù)字簽名沒有通過(guò)安全檢查,就會(huì)進(jìn)入到 vSphere 的紫屏錯(cuò)誤 PSOD (Purple Screen Of Death) 狀態(tài)。
同樣的道理,虛擬機(jī)也可以支持安全啟動(dòng)。只要把虛擬機(jī)的固件配置成為 EFI 的話,就可以選擇 Secure Boot 選項(xiàng),以配合 Windows 和 Linux 等操作系統(tǒng)的安全啟動(dòng)功能。
