Pack supplémentaire de démarrage mesuré

Le pack supplémentaire de démarrage mesuré HASH (0x2c1a078) permet aux clients de mesurer les composants clés de leurs hôtes HASH (0x2c1a078) au démarrage. Il fournit également des API qui permettent aux solutions d’attestation à distance de collecter ces mesures en toute sécurité. Ce pack supplémentaire est compatible avec les systèmes informatiques Intel qui prennent en charge la technologie TXT ( Trusted Execution Technology ).

Ce pack supplémentaire est disponible en téléchargement à partir de laHASH(0x2c1a078) HASH(0x2e72eb8)page.

Note :

Le pack supplémentaire de démarrage mesuré est disponible pour les clients HASH (0x2c1a078) HASH (0x2e72eb8) ou les clients qui ont accès à HASH (0x2c1a078) via leur droit Citrix Virtual Apps and Desktops.

Arrière-Plan

Après l’installation de ce Supplemental Pack, lorsqu’un serveur HASH (0x2e68218) démarre suivant, le TXT d’Intel prend des mesures de composants système de bas niveau (tels que le firmware, le BIOS, l’hyperviseur Xen, le noyau dom0 et l’initrd dom0) et les stocke dans un emplacement sécurisé sur l’hôte connu sous le nom de Module de plateforme (TPM). Une nouvelle interface est fournie aux clients, telle qu’une solution d’attestation à distance, pour collecter ces mesures en toute sécurité.

Attestation à distance

Les solutions d’attestation à distance fonctionnent en se connectant à un serveur HASH (0x2e68218) qui est dans un état de nettoyage « bon connu ». Il peut interroger à distance et en toute sécurité le TPM du serveur HASH (0x2e68218) pour obtenir une liste de mesures système de clé de bas niveau. Il stocke ces mesures dans une liste de mesures « liste blanche » ou « bien connu ».

À ce stade, le logiciel d’attestation à distance recueille périodiquement les mesures clés du système et les compare à sa liste des « produits connus ».

Un hôte est considéré comme « non fiable » dans les cas suivants :

  • Si le logiciel d’attestation à distance n’est pas en mesure de collecter les mesures
  • Si les mesures changent
  • Si les clés cryptographiques ne sont pas valides

Dans ce cas, le client est averti. Les logiciels d’orchestration de plus haut niveau, tels que CloudStack, OpenStack ou les logiciels d’équilibrage de la charge de travail, peuvent effectuer des opérations de sécurité intelligentes sur les hôtes concernés.

Préparer le serveur HASH (0x2e68218)

Pour que ce pack supplémentaire fonctionne correctement, avant de tenter de collecter des données, modifiez les paramètres suivants dans le BIOS de leur hôte :

  1. Configurez le serveur HASH (0x2e68218) pour qu’il démarre en mode hérité.

    Note :

    Le mode de démarrage UEFI n’est pas pris en charge avec le démarrage mesuré.

  2. Activer Intel AES-NI.

  3. Activez TPM Security ou Activez avec des mesures de pré-démarrage .

  4. Effacer le module de plateforme sécurisée.

    Cette action efface tous les paramètres et mots de passe précédents associés au module de plateforme sécurisée pour permettre au pack supplémentaire de démarrage mesuré HASH (0x2c1a078) de prendre le contrôle du module de plateforme sécurisée.

    Note :

    Un redémarrage est nécessaire après cette étape.

  5. Activer le module de plateforme sécurisée.

  6. Activer Intel TXT.

Note :

  • Un redémarrage est nécessaire après les étapes 5 et 6.
  • Les paramètres du BIOS varient en fonction du fabricant du matériel. Consultez la documentation matérielle pour savoir comment activer le TPM et le TXT pour leur environnement spécifique.

Installer le pack supplémentaire

Utilisez l’interface de ligne de commande HASH (0x2c1a078) pour installer ce pack supplémentaire. Comme pour toute mise à jour logicielle, nous vous conseillons de sauvegarder vos données avant d’appliquer ce pack supplémentaire.

Les packs supplémentaires peuvent être transmis dans un fichier zip . Si l’ISO du Pack Supplemental est contenu dans un fichier zip, décompressez ce fichier zip (pour produire l’image ISO du disque), avant d’effectuer les étapes ci-dessous.

Installer sur un système HASH (0x2c1a078) en cours d’exécution

  1. Téléchargez le Pack supplémentaire directement sur l’hôte HASH (0x2c1a078) pour être mis à jour.

    Nous vous recommandons de le stocker dans le/tmp/ répertoire.

    Vous pouvez également télécharger le fichier sur un ordinateur connecté à Internet et graver l’image ISO sur un CD.

  2. Utilisez HASH (0x2e6c8e8) pour accéder à la console de l’hôte HASH (0x2c1a078) ou utilisez Secure Shell (SSH) pour ouvrir une session directement.

  3. La méthode la plus simple consiste à installer directement à partir du fichier ISO. Saisissez ce qui suit :

    xe-install-supplemental-pack /tmp/HASH(0x2c1a078)--measured-boot.iso
    

    Sinon, si vous avez choisi de graver l’ISO sur un CD, vous devez installer le disque. Par exemple, pour un CD-ROM, entrez les éléments suivants :

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Pour que les modifications prennent effet, redémarrez votre hôte.

Réinstallation

Si vous installez ce pack supplémentaire sur une version précédente, confirmez l’écrasement de l’installation précédente. EntrezY lorsque vous y êtes invité lors dexe-install-supplemental-pack l’installation.

Mise à jour du mot de passe par défaut

Dans les versions précédentes du pack supplémentaire, le mot de passe par défaut était définixenroot avec une nouvelle ligne de fin. Cette nouvelle ligne de fin a été supprimée pour le mot de passe par défaut dans cette version du pack supplémentaire, le nouveau mot de passe par défaut étantxenroot.

Un mot de passe personnalisé peut être défini/opt/xensource/tpm/config et doit être un hachage sha1 d’un mot de passe en texte brut, qui peut être généré avececho -n <password | sha1sum . Si cette ligne de commande-n est omise, une nouvelle ligne de fin est incluse dans le mot de passe.

Définir des balises d’actifs

Les balises d’actifs peuvent être définies à l’aide du/opt/xensource/tpm/xentpm binaire avec les--tpm_set_asset_tag méthodes--tpm_clear_asset_tag et, ou peuvent également être définies à l’aide dutpm plug-in API de gestion avec letpm_set_asset_tag (en prenant un argument ‘tag’) et lestpm_clear_asset_tag fonctions :

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Note :

Un redémarrage est nécessaire après cette étape.

Plus d’informations

Pour télécharger le pack supplémentaire de démarrage mesuré, consultez laHASH(0x2c1a078) HASH(0x2e72eb8)page.

Si vous rencontrez des difficultés avec l’installation de ce pack supplémentaire, contactezAssistance technique Citrix.

Pour la documentation HASH (0x2c1a078), visitez leDocumentation produit Citrixsite Web.