Paquete suplementario de arranque medido

El paquete complementario de arranque medido HASH (0x2c1a078) permite a los clientes medir componentes clave de sus hosts HASH (0x2c1a078) en el momento del arranque. También proporciona API que permiten que las soluciones de autenticación remota recopilen estas mediciones de forma segura. Este paquete complementario es compatible con los sistemas informáticos Intel compatibles con Trusted Execution Technology (TXT).

Este paquete complementario está disponible para descargar desde laHASH (0x2c1a078) HASH (0x2e72eb8)página.

Nota:

El paquete complementario de arranque medido está disponible para los clientes HASH (0x2c1a078) HASH (0x2e72eb8) o aquellos clientes que tienen acceso a HASH (0x2c1a078) a través de sus derechos de Citrix Virtual Apps and Desktops.

Fondo

Después de la instalación de este paquete complementario, cuando se inicia un servidor HASH (0x2e68218), TXT de Intel toma medidas de componentes de sistema de bajo nivel (como firmware, BIOS, hipervisor Xen, kernel dom0 y dom0 initrd) y los almacena en una ubicación segura en el host conocido como Módulo de plataforma (TPM). Se proporciona una nueva interfaz para los clientes, como una solución de certificación remota, para recopilar estas mediciones de forma segura.

Certificación remota

Las soluciones de autenticación remota funcionan conectándose a un servidor HASH (0x2e68218) que está en un estado limpio de “buen conocido”. Puede consultar de forma remota y segura el TPM del servidor HASH (0x2e68218) para obtener una lista de mediciones del sistema clave de bajo nivel. Almacena estas medidas en una lista de medidas de “lista blanca” o “buena conocida”.

En este punto, el software de certificación remota recopila periódicamente las mediciones clave del sistema y las compara con su lista de “bienes conocidos”.

Un host se considera ‘no confiable’ en los siguientes casos:

  • Si el software de certificación remota no puede recopilar las mediciones
  • Si las medidas cambian
  • Si las claves criptográficas no son válidas

En este caso, se notificará al cliente. El software de orquestación de nivel superior, como CloudStack, OpenStack o software de equilibrio de carga de trabajo, puede realizar operaciones de seguridad inteligentes en los hosts afectados.

Preparar el servidor HASH (0x2e68218)

Para que este paquete complementario funcione correctamente, antes de intentar recopilar datos, edite la siguiente configuración en el BIOS de su host:

  1. Configure el servidor HASH (0x2e68218) para que arranque en modo heredado.

    Nota:

    El modo de arranque UEFI no es compatible con el arranque medido.

  2. Habilite Intel AES-NI.

  3. Encienda TPM Security o enci enda con mediciones previas al arranque .

  4. Despejen el TPM.

    Esta acción borra cualquier configuración y contraseñas anteriores asociadas con el TPM para permitir que el paquete complementario de arranque medido HASH (0x2c1a078) tome el control del TPM.

    Nota:

    Se requiere un reinicio después de este paso.

  5. Habilite TPM.

  6. Habilite Intel TXT.

Nota:

  • Se requiere un reinicio después de los pasos 5 y 6.
  • La configuración del BIOS varía según el fabricante del hardware. Consulte la documentación de hardware para ver cómo habilitar TPM y TXT para su entorno específico.

Instalar el paquete complementario

Utilice la CLI HASH (0x2c1a078) para instalar este paquete suplementario. Al igual que con cualquier actualización de software, le recomendamos que realice una copia de seguridad de sus datos antes de aplicar este paquete complementario.

Los paquetes complementarios se pueden transmitir dentro de un archivo zip . Si la ISO del paquete complementario está contenida en un archivo zip, descomprima este archivo zip (para producir la imagen ISO del disco), antes de llevar a cabo los siguientes pasos.

Instalar en un sistema HASH en ejecución (0x2c1a078)

  1. Descargue el paquete complementario directamente en el host HASH (0x2c1a078) que se va a actualizar.

    Recomendamos almacenarlo en el/tmp/ directorio.

    Alternativamente, puede descargar el archivo en un equipo conectado a Internet y grabar la imagen ISO en un CD.

  2. Utilice HASH (0x2e6c8e8) para acceder a la consola del host HASH (0x2c1a078) o utilice shell seguro (SSH) para iniciar sesión directamente.

  3. El método más simple es instalar directamente desde el archivo ISO. Introduzca lo siguiente:

    xe-install-supplemental-pack /tmp/HASH(0x2c1a078)--measured-boot.iso
    

    Alternativamente, si elige grabar la ISO en un CD, debe montar el disco. Por ejemplo, para un CD-ROM, escriba lo siguiente:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Para que los cambios surtan efecto, reinicie el host.

Reinstalación

Si va a instalar este paquete complementario encima de una versión anterior, confirme la sobrescritura de la instalación anterior. EscribaY cuando se le solicite durantexe-install-supplemental-pack la instalación.

Actualizar contraseña predeterminada

En versiones anteriores del paquete complementario, la contraseña predeterminada se estableció enxenroot con una nueva línea final. Esta nueva línea final se ha eliminado para la contraseña predeterminada en esta versión del paquete complementario con la nueva contraseña predeterminadaxenroot.

Se puede establecer una contraseña personalizada/opt/xensource/tpm/config y debe ser un hash sha1 de una contraseña de texto sin formato, que se puede generar conecho -n <password | sha1sum . Si-n se omite de esta línea de comandos, se incluye una nueva línea final en la contraseña.

Establecer etiquetas de activos

Las etiquetas de activos se pueden establecer utilizando el/opt/xensource/tpm/xentpm binario con los--tpm_set_asset_tag métodos--tpm_clear_asset_tag y, o también se pueden establecer mediante eltpm complemento API de administración con eltpm_set_asset_tag (tomando un argumento ‘etiqueta’) ytpm_clear_asset_tag funciones:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Nota:

Se requiere un reinicio después de este paso.

Más información

Para descargar el paquete complementario de arranque medido, consulte laHASH (0x2c1a078) HASH (0x2e72eb8)página.

Si tiene alguna dificultad con la instalación de este paquete suplementario, póngase en contacto conSoporte técnico de Citrix.

Para la documentación de HASH (0x2c1a078), visite elDocumentación de productos de Citrixsitio web.