标准引导补充包

使用 XenServer 标准引导补充包,客户可以在启动时评测其 XenServer 主机的关键组件。它还提供了 API,允许远程验证解决方案安全地收集这些评测结果。此补充包与支持可信执行技术 (TXT) 的 Intel 计算机系统兼容。

可以从 XenServer 7.6 Enterprise Edition 页面下载该补充包。

注意:

标准引导补充包可供以下客户使用:XenServer Enterprise Edition 客户,或可通过其 Citrix Virtual Apps and Desktops 授权访问 XenServer 的客户。

背景

安装该补充包后,当 XenServer 主机下次启动时,Intel 的 TXT 会评测低级别系统组件(例如,固件、BIOS、Xen 虚拟机管理程序、dom0 内核和 dom0 initrd),并将评测结果存储在主机上被称为可信平台模块 (TPM) 的安全位置。为客户端提供远程认证解决方案等新界面,以安全地收集这些度量。

远程验证

远程验证解决方案的工作方式是通过连接到处于“已知良好”干净状态的 XenServer 主机。它可以安全地远程查询 XenServer主机的 TPM,以获取低级别关键系统评测的列表。它会将这些度量存储在“白名单”或“已知良好”的度量列表中。

此时,远程认证软件将定期收集关键系统度量,并将其与“已知良好”列表进行比较。

在以下情况下,主机将被视为“不受信任”:

  • 如果远程认证软件无法收集度量
  • 如果度量发生了更改
  • 如果加密密钥无效

在这种情况下,客户将收到通知。CloudStack、OpenStack 或 Workload Balancing 软件等较高级别的调配软件可以对受影响的主机执行智能安全操作。

准备 XenServer 主机

为使此补充包正常运行,请在尝试收集数据之前,在其主机的 BIOS 中编辑以下设置:

  1. 将 XenServer 主机设置为在旧模式下启动。

    注意:

    Measured Boot 不支持 UEFI 引导模式。

  2. 启用 Intel AES-NI

  3. 开启 TPM 安全性On with Pre-boot Measurements

  4. 清除 TPM。

    此操作会擦除以前的所有设置以及与 TPM 相关联的密码,以允许 XenServer 标准引导补充包控制 TPM。

    注意:

    执行此步骤后需要重新启动。

  5. 启用 TPM

  6. 启用 Intel TXT

注意:

  • 执行步骤 5 和步骤 6 后需要重新启动。
  • BIOS 设置因硬件制造商而异。请参阅硬件文档以了解如何为特定环境启用 TPM 和 TXT。

安装补充包

使用 XenServer CLI 安装该补充包。与任何软件更新一样,Citrix 建议客户在应用此补充包之前先备份其数据。

可以在 zip 文件中传输补充包。如果补充包 ISO 包含在 zip 文件中,请先解压此 zip 文件(以生成磁盘 ISO 映像),然后再执行以下步骤。

安装到正在运行的 XenServer 系统

  1. 将补充包直接下载到要更新的 XenServer 主机。

    Citrix 建议将其存储在 /tmp/ 目录中。

    或者,可以将该文件下载到连接 Internet 的计算机,并将 ISO 映像刻录为 CD。

  2. 使用 XenCenter 访问 XenServer 主机的控制台,或者使用 Secure Shell (SSH) 直接登录。

  3. 最简单的方法是直接使用 ISO 文件进行安装。输入以下命令:

    xe-install-supplemental-pack /tmp/XenServer-7.6-measured-boot.iso
    

    或者,如果选择将 ISO 刻录为 CD,则必须装载磁盘。例如,对于 CD-ROM,请输入以下信息:

    mkdir -p /mnt/tmp
    mount /dev/<CD-ROM 的路径> /mnt/tmp
    cd /mnt/tmp /
    ./install.sh
    cd /
    umount /mnt/tmp
    
  4. 为使所做的更改生效,请重新启动主机。

重新安装

如果要在存在早期版本的基础上安装此补充包,请确认覆盖之前的安装。在安装 xe-install-supplemental-pack 期间出现提示时,输入 Y

更新默认密码

在早期版本的补充包中,默认密码已设置为 xenroot 且带有一个尾随换行。在此版本的补充包中,已删除默认密码的该尾随换行,新的默认密码为 xenroot

自定义密码可以在 /opt/xensource/tpm/config 中进行设置,并且必须是纯文本密码的 sha1 哈希,该密码可通过 echo -n <password | sha1sum 生成。如果忽略此命令行中的 -n,密码中将包含尾随换行。

设置资产标签

可以使用包含 --tpm_set_asset_tag--tpm_clear_asset_tag 方法的 /opt/xensource/tpm/xentpm 二进制文件设置资产标签,也可以使用具有 tpm_set_asset_tag(具有 tag 参数)和 tpm_clear_asset_tag 功能的管理 API tpm 插件进行设置:

/opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
/opt/xensource/tpm/xentpm --tpm_clear_asset_tag
xe host-call-plugin uuid=<主机 UUID> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
xe host-call-plugin uuid=<主机 UUID> plugin=tpm fn=tpm_clear_asset_tag

注意:

执行此步骤后需要重新启动。

更多信息

要下载标准引导补充包,请参阅 XenServer 7.6 Enterprise Edition 页面。

如果遇到与安装该补充包有关的任何问题,请联系Citrix技术支持

有关 XenServer 7.6 文档,请访问Citrix产品文档 Web 站点。

Version

标准引导补充包