Measured Boot 补充包

使用 XenServer Measured Boot 补充包,客户可以在其 XenServer 主机启动时度量主机的关键组件。该补充包还提供 API,支持远程认证解决方案安全地收集这些度量。此补充包与支持可信执行技术 (TXT) 的 Intel 计算机系统兼容。

可从 XenServer 7.6 Enterprise Edition 页面下载此补充包。

注意:

Measured Boot 补充包可供以下客户使用:XenServer Enterprise Edition 客户,或可通过其 Citrix Virtual Apps and Desktops 授权访问 XenServer 的客户。

背景

安装此补充包后,当 XenServer 主机下次启动时,Intel 的 TXT 将度量低级别系统组件(例如,固件、BIOS、Xen 虚拟机管理程序、dom0 内核,以及 dom0 initrd)并将这些度量存储在称为可信平台模块 (TPM) 的主机上的安全位置。为客户端提供远程认证解决方案等新界面,以安全地收集这些度量。

远程认证

远程认证解决方案通过连接到处于“已知良好”干净状态的 XenServer 主机进行工作。它可以安全地远程查询 XenServer 主机的 TPM,以获取低级别关键系统的度量列表。它会将这些度量存储在“白名单”或“已知良好”的度量列表中。

此时,远程认证软件将定期收集关键系统度量,并将其与“已知良好”列表进行比较。

在以下情况下,主机将被视为“不受信任”:

  • 如果远程认证软件无法收集度量
  • 如果度量发生了更改
  • 如果加密密钥无效

在这种情况下,客户将收到通知。CloudStack、OpenStack 或 Workload Balancing 软件等较高级别的调配软件可以对受影响的主机执行智能安全操作。

准备 XenServer 主机

为使此补充包正常运行,请在尝试收集数据之前,在其主机的 BIOS 中编辑以下设置:

  1. 在旧模式中设置要引导的 XenServer 主机。

    注意:

    Measured Boot 不支持 UEFI 引导模式。

  2. 启用 Intel AES-NI

  3. 开启 TPM 安全性On with Pre-boot Measurements

  4. 清除 TPM。

    此操作会擦除与 TPM 关联的所有先前设置和密码,以允许 XenServer Measured Boot 补充包控制 TPM。

    注意:

    执行此步骤后需要重新启动。

  5. 启用 TPM

  6. 启用 Intel TXT

注意:

  • 执行步骤 5 和步骤 6 后需要重新启动。
  • BIOS 设置因硬件制造商而异。请参阅硬件文档以了解如何为特定环境启用 TPM 和 TXT。

安装补充包

使用 XenServer CLI 安装此补充包。与任何软件更新一样,Citrix 建议客户在应用此补充包之前备份其数据。

补充包可以通过 zip 文件传送。如果补充包 ISO 包含在 zip 文件中,请先解压此 zip 文件(以生成磁盘 ISO 映像),然后再执行以下步骤。

安装到正在运行的 XenServer 系统

  1. 直接将补充包下载到要更新的 XenServer 主机。

    Citrix 建议将其存储在 /tmp/ 目录中。

    或者,可以将该文件下载到连接 Internet 的计算机,并将 ISO 映像刻录为 CD。

  2. 使用 XenCenter 访问 XenServer 主机的控制台,或者使用安全外壳 (SSH) 直接登录。

  3. 最简单的方法是直接使用 ISO 文件进行安装。输入以下命令:

    xe-install-supplemental-pack /tmp/XenServer-7.6-measured-boot.iso
    

    或者,如果选择将 ISO 刻录为 CD,则必须装载磁盘。例如,对于 CD-ROM,请输入以下信息:

    mkdir -p /mnt/tmp
    mount /dev/<CD-ROM 的路径> /mnt/tmp
    cd /mnt/tmp/
    ./install.sh
    cd /
    umount /mnt/tmp
    
  4. 为使所做的更改生效,请重新启动主机。

重新安装

如果要在存在早期版本的基础上安装此补充包,请确认覆盖之前的安装。在安装 xe-install-supplemental-pack 期间出现提示时,输入 Y

更新默认密码

在早期版本的补充包中,默认密码被设置为 xenroot 并带有尾随换行。在此版本的补充包中,已删除默认密码的该尾随换行,新的默认密码为 xenroot

自定义密码可以在 /opt/xensource/tpm/config 中进行设置,并且必须是纯文本密码的 sha1 哈希,该密码可通过 echo -n <password | sha1sum 生成。如果忽略此命令行中的 -n,密码中将包含尾随换行。

设置资产标签

可以使用含 --tpm_set_asset_tag--tpm_clear_asset_tag 方法的 /opt/xensource/tpm/xentpm 二进制文件设置资产标签,也可以使用含 tpm_set_asset_tag(带“tag”参数)和 tpm_clear_asset_tag 函数的管理 API tpm 插件进行设置:

/opt/xensource/tpm/xentpm --tpm_set_asset_tag <标签 sha1>
/opt/xensource/tpm/xentpm-tpm_clear_asset_tag
xe host-call-plugin uuid=<主机 UUID> plugin=tpm fn=tpm_set_asset_tag args:tag=<标签 sha1>
xe host-call-plugin uuid=<主机 UUID> plugin=tpm fn=tpm_clear_asset_tag

注意:

执行此步骤后需要重新启动。

更多信息

要下载 Measured Boot 补充包,请参阅 XenServer 7.6 Enterprise Edition 页面。

如果在安装此补充包时遇到任何问题,请联系Citrix技术支持

有关 XenServer 7.6 文档,请访问 Citrix 产品文档 Web 站点。

Measured Boot 补充包