2025 ж. 21 қар.·4 мин

Серверлердегі Secure Boot пен TPM: гипервизорды бұзбайтын тексеру тізімі

Серверлерде Secure Boot пен TPM‑ды қосу: қорғанысты қосу, кілттерді тексеру және баптауларды қайтару тәртібі, гипервизорды күтпеген жерден жүктемеу үшін.

Серверлердегі Secure Boot пен TPM: гипервизорды бұзбайтын тексеру тізімі

Серверлерде Secure Boot пен TPM не үшін қажет

Secure Boot пен TPM серверлерде «әдемі белгі» үшін емес, ең жағымсыз шабуыл түрлерінің бірін — жүктегішті, драйверлерді және ОС‑тың ерте компоненттерін гипервизор іске қосылмай тұрып алмастыруды — жою үшін қажет. Егер шабуылшы осы деңгейге орналасып алса, антивирустар мен қарапайым саясаттар жиі көмектеспейді.

Secure Boot UEFI мен жүктеу компоненттерінің қолтаңбаларын тексеріп, сенімсіз нәрсені іске қосуға бұйырмайды. TPM 2.0 кілттерді сақтайды және жүктеудің өлшемдерін (Measured Boot) тіркейді: жүйе нақты не жүктелгенін жазып алады, және бұл деректер тұтастықты тексеру үшін қолданыла алады.

Қорғаныс шектеулерін түсіну маңызды. Secure Boot пен TPM әлсіз парольдерден, гипервизордағы әлсіздіктерден, виртуалдық машиналардағы дұрыс емес рұқсаттардан немесе сақтық көшірмелердің ұрлануынан сақтамайды. Бұл — түйіннің «адал басталуы» және сенім тізбегі туралы.

Көп жағдайда гипервизор қорға қосылғаннан кейін жүктелмейді, себебі кейбір компоненттер күтілген кілттермен қолтаңбаланбаған, Legacy/CSM қосулы, пайдаланып жатқан жүктеуші ескісірген немесе тізбекке бұрын байқалмай қосылатын драйвер немесе модуль кірген. Кластерлерде бұл әсіресе ауыр: бір түйін қызмет режиміне кетіп, тәуелділіктер жайылып кетуі мүмкін.

Secure Boot мәселесі (диск немесе RAID емес) екенін көрсететін белгілер әдетте мынадай:

  • Secure Boot қосылғаннан кейін қолтаңба немесе Verification failed туралы хабар пайда болады
  • түйін UEFI Setup немесе Boot Manager‑ге қайта оралып, жүктелмейді
  • диск UEFI‑де көрініп тұр, бірақ жүктеу жазбасы басталмайды
  • сол образ Secure Boot өшірілгенде ғана жүктеледі

Бұл виртуализация, қашықтағы орындар және жоғары талаптары бар салалар үшін (мемлекеттік органдар, қаржы секторы, медицина, білім) аса маңызды: мұндай ортада сервер қайта жүктелгенде болжамды болуы және саясатпен тексерілуі тиіс. Практикада жабдық жергілікті жеткізіліп, біркелкі UEFI профилімен бапталған кезде оңайырақ (мысалы, GSE жоба­ларында).

Сенім тізбегі қалай жұмыс істейді

Сервер тек сіз рұқсат еткен нәрсені ғана іске қосып, "дұрыс" жүктелгенін дәлелдей алуы керек. Secure Boot сенімсіз кодты іске қосуды блоктайды, TPM дәл не жүктелгенін тіркеп қояды.

UEFI сенімді кілттер мен сертификаттар жиынтығын сақтайды. Secure Boot қосулы болса, UEFI әрбір маңызды компоненттің қолтаңбасын тексереді: алдымен жүктеушіні, одан кейін келесі кезеңді (мысалы, жүктеу менеджері немесе ядро). Егер қолтаңба белгісіз немесе файл өзгерген болса, жүктеу тоқтатылады. Практикалық мағынасы қарапайым: ерте жүктеу компоненттерінің жасырын түрде алмастырылуын болдырмау.

TPM 2.0‑ты "қауіпсіз сандық сейф және журнал" ретінде қарастыруға болады:

  • "сейф" — кілттер сияқты құпияларды дискіні алып тастағанмен оңай алуға болмайтындай сақтайды
  • "журнал" — жүктеу кезінде не іске қосылғанының хештерін PCR регистрлеріне жазады

Secure Boot компонент қолтаңбасынан өтпесе іске қосуды блоктайды. Measured Boot көбінесе ештеңені блоктамайды — ол жүктеу фактілерін өлшеп, TPM‑ге жазып қояды. Нәтижесінде сізде екі бақылау деңгейі бар: "артық нәрсені іске қоспау" және "не іске қосылғанын тексере білу" (жергілікті не инфрақұрылым арқылы).

Гипервизор үшін маңыздысы — бір ғана файл емес, тұтас тізбек. Тексеруға жүктеуші, гипервизор образы немесе ядрo, ерте драйверлер мен модульдер, кейде initramfs кіреді.

Өзгерістерге дейінгі дайындық: не тексеру және не тіркеу керек

Secure Boot пен TPM қосуды жүктеу схемасын өзгертумен бірдей қабылдаңыз. Көптеген мәселелер қорғаныс функцияларының өзінен емес, Legacy режиміндегі ескі орнатудан немесе стандарттан тыс жүктеушіден туындайды.

Алдымен сервердің нақты моделін және UEFI/BIOS (және бар болса BMC) нұсқаларын анықтаңыз. Стояк серверлерде өндірушінің Secure Boot қосар алдында микробағдарламаны жаңартуға қатысты ұсыныстары бар‑жоғын алдын ала тексеру пайдалы. Жаңарту соңғы сәтте қауіпті, бірақ ағымдағы нұсқаларды білу міндетті.

Майдандық тапсырма — жүктеу режимі. Гипервизор UEFI‑де орнатылған әрі солай жүктелетініне көз жеткізіңіз, Legacy/CSM‑де емес. Егер жүйе ескі болса, диск BIOS‑жүктеу үшін бөлінген болуы мүмкін, сондықтан Secure Boot қосылса UEFI‑ге оралып қалуы мүмкін.

Кез келген өзгерістерге дейін ағымдағы күйді тіркеңіз, қай жерге оралуға болатынын білу үшін:

  • жүктеу режимі (UEFI немесе Legacy/CSM) және Secure Boot‑тың ағымдағы күйі
  • жүктеу тәртібі (Boot Order) және таңдалған жазба
  • контроллер режимі мен жүктеу томының күйі (RAID/HBA және қай массив boot болып табылады)
  • TPM жағдайы (қосулы ма, TPM 2.0 па, тазалау (Clear) қажет пе)
  • жүктеуге әсер ететін параметрлер (мысалы, PXE бірінші)

Одан әрі желі көтерілмесе қол жеткізу үшін консоль (жергілікті не BMC/iKVM арқылы), тексерілген ISO немесе қалпына келтіру құралын дайындаңыз, және қайтару жоспары бар қызмет көрсету терезесін жоспарлаңыз.

UEFI‑де қажетті параметрлер қайда және олар нені білдіреді

Көптеген серверлерде қажетті тармақтар жақын орналасқан, бірақ әртүрлі аталады. Secure Boot әдетте Security немесе Boot бөлімдерінде, TPM — Security, Trusted Computing немесе Advanced бөлімдерінде.

Secure Boot: қосқыш және кілт режимі

Secure Boot күйінен (Enabled/Disabled) басқа Standard немесе Custom режимдері жиі болады.

Standard — зауыттық кілттерді қолданады: әдетте Secure Boot‑ты қосып, кілттермен жұмыс істемеу жеткілікті. Custom — қолмен басқаруды ашады және оны тек өз сенім тізбегіңізді құратын болсаңыз ғана пайдалану керек.

Кілттер әдетте мынадай бөлікке бөлінеді:

  • PK (Platform Key) — платформадағы басты кілт, Secure Boot ережелерін өзгертуді анықтайды
  • KEK (Key Exchange Key) — сенім базаларын жаңартуға арналған кілттер
  • DB (Allowed Signatures Database) — сенімді қолтаңбалар
  • DBX (Revoked Signatures Database) — кері қайтарылған қолтаңбалар, олар блокталады

Практикалық тәуекел қарапайым: егер PK/KEK/DB тазартылса, микробағдарлама гипервизор жүктеушісіне сенуді доғарады. DBX те маңызды: белгілі уязвимді жүктеушілерден қорғайды, бірақ DBX жаңартылғаннан кейін ескі образ кенеттен жүктелмей қалуы мүмкін.

TPM 2.0: қосу және күйі

TPM әдетте екі деңгейде болады: қосулы (Enabled) және белсенді (Activated). TPM Device/TPM Support, TPM Version (2.0) және Enabled/Activated (кейде Clear) сияқты параметрлерді іздеңіз.

Clear TPM‑ді бастапқы күйге қайтарады және шифрлау мен TPM‑ге байланған құпияларға әсер етуі мүмкін. Оны түсінікті қалпына келтіру жоспары болмастан бастамаған жөн.

Жүктеуді жиі бұзатын параметрлер

Secure Boot жүктеу режимі мен ROM модульдерімен тығыз байланысты:

  • CSM (Compatibility Support Module): Secure Boot үшін көбінесе таза UEFI қажет
  • PXE/Network Boot: желілік жүктеу UEFI үйлесімді болуы тиіс, әйтпесе түйін PXE‑да тұрып қалуы мүмкін
  • Option ROM Policy: бар болса UEFI ROM таңдаңыз; кейбір карталардағы Legacy ROM Secure Boot‑пен қайшылық тудырады

Егер серверлер кластерге жинап жатсаңыз, осы тармақтардың әр модельде қай жерде орналасқанын тіркеп, бірдей профильдер жасаңыз. Бұл барлық хосттарда қорғанысты ашқанда тосын оқиғаларды азайтады.

Қадамдық: TPM мен Secure Boot‑ты тоқтап қалдырмай қалай қосуға болады

Интеграция под защищенную виртуализацию
Спроектируем виртуализацию и инфраструктуру с учетом Secure Boot, TPM и удаленной консоли.
Обсудить

Қауіпсіз реттілік логикасы мынадай: жүктеуді сирек бұзатын нәрсені (TPM) алдымен қосыңыз, содан кейін ғана қолтаңбасы жоқ жүктеушіні блоктай алатын Secure Boot‑ты қосыңыз.

  1. Түйіннің қазір UEFI‑де екеніне және CSM‑нің сөндірілгеніне көз жеткізіңіз. Қазір Legacy болса, UEFI‑ге көшу бөлек тапсырма ретінде жоспарлансын.

  2. TPM 2.0‑ды (немесе Intel PTT/AMD fTPM) қосып, баптауларды сақтап, қайта жүктеңіз. Гипервизор әдеттегідей жүктелетінін тексеріңіз.

  3. Гипервизор мен оның жүктеушісінің Secure Boot‑пен үйлесімді екеніне көз жеткізіңіз. Егер кастом драйверлер, ескі ISO немесе стандарттан тыс жүктеуші қолданылса, алдымен тест түйінінде тексеріңіз.

  4. Secure Boot‑ты қосып, Standard/Default (зауыттық кілттер) режимінен бастаңыз, кілттерді қолмен алмастырмай.

Бірінші сәтті жүктелуден кейін не қосқанын, қандай параметрлер өзгергенін және гипервизор мен BMC журналдарындағы хабарларды тіркеңіз.

Қосымша пайдалы шара: қажет емес жүктеу нұсқаларын азайтыңыз. Қосымша элементтер (PXE, USB, виртуалдық дискілер) тікелей Secure Boot‑ты бұзбайды, бірақ жаңартулар мен қайта жүктеулер кезінде шатасуға әкелуі мүмкін.

Қосқаннан кейінгі тексерістер: не "жасыл" болуы тиіс

Түйін жай ғана жүктеліп қана қоймай, тұрақты және айналып өтулерсіз жүктелуі керек.

Үш нәрсені тексеріңіз:

  • Secure Boot қосулы және жүйе шынымен UEFI‑де жүктеледі
  • TPM TPM 2.0 ретінде анықталған және күтілген күйде (Enabled/Activated; "present but not ready" — мәселені шешуді қажет ететін сигнал)
  • UEFI Boot Manager‑де бірінші орынға жүйелік дискіні жүктейтін дұрыс EFI‑жүктеуші жазбасы қойылған және бірнеше перезагрузкадан кейін сақталады

Содан кейін айналып өтулерді жабыңыз, әсіресе серверге түрлі адамдар қызмет көрсететін болса:

  • USB‑ден жүктеу өшірілген немесе әкімші паролімен қорғалған
  • PXE өшірілген немесе жүктеушіні ауыстырмайтындай бапталған
  • UEFI баптаулары парольмен қорғалған

Гипервизор немесе микробағдарлама жаңартылғаннан кейін осы тексерістерді қайталау ұсынылады. Кейбір қателер бірден емес, келесі қайта жүктеуде көрініс табады.

Қара экран пайда болса: қауіпсіз қайтару жоспары

Поддержка 24/7 и сервисная сеть
Организуем поддержку и сервис по всей стране для ваших серверов и площадок.
Подключить

Қатты шығарып тастамаңыз және он параметрді бірден өзгертпеңіз. Көбіне сабырлы тексеріс көмектеседі.

  1. UEFI‑ге кіріп, жүктеу режимі гипервизор орнатылған кезде қолданылған режимге сәйкес екеніне (UEFI vs Legacy/CSM) және Boot Order‑де дұрыс жазба бірінші екеніне көз жеткізіңіз (UEFI: <диск> немесе нақты EFI Boot Manager).

  2. Уақытша Secure Boot‑ты өшіріп көріңіз, TPM‑ды қосулы қалдырыңыз. Бұл тез түрде қолтаңба мәселесін басқа себептерден ажыратуға көмектеседі.

  3. Егер Secure Bootсыз түйін жүктелсе, UEFI‑ге қайта кіріп, кілттер режимін тексеріңіз. Егер кілттерді қолмен өзгерткен болсаңыз, Enroll/Restore default keys секілді опцияны пайдаланып, қолмен өңдеуге қарағанда зауыттық кілттерді қалпына келтіріңіз, сосын Secure Boot‑ты қайта қосыңыз.

  4. Тіпті Secure Bootсыз да жүктелмесе, базалық диагностикаға оралыңыз: дұрыс диск пе, дұрыс UEFI‑жазба ма, контроллер немесе том өшірілмеген бе.

Әр өзгерістен кейін бір рет жүктеп, нәтижені тіркеңіз.

B жоспары — rescue/maintenance ортасына жүктеп, EFI жазбаларын қалпына келтіру. Көбінесе EFI‑бөлімдегі жүктеу жазбасын қайта жасау және гипервизор жүктеушісін қайта орнату (ESXi/Hyper‑V/Linux KVM) көмектеседі. EFI бөлімін кездейсоқ форматтауға әуестенбеңіз: алдымен екінші жұмысшы көшірме жоқ па тексеріңіз.

Түйінді қызметке беру алдындағы чек‑лист

Серверді пулға қайтармас бұрын қысқа тексерістен өткізіңіз:

  • түйін UEFI‑де жүктеледі, CSM сөндірілген
  • TPM TPM 2.0 ретінде қосулы және жүйе оны ескерусіз анықтайды
  • Secure Boot қосулы, кілттер Standard (немесе кастом жиындылар құжатталған)
  • қашық консольге қол жеткізу және UEFI баптауларын қайтару үшін түсінікті әдіс бар
  • гипервизор кем дегенде 2 рет қайта жүктегеннен кейін сәтті жүктелді

Одан бөлек «эталонды» тіркеңіз: сервер моделі, BIOS/UEFI және BMC нұсқалары, жүктеу режимі, Secure Boot пен TPM статусы, Boot Order және рұқсат етілген жүктеу құрылғылары тізімі. Бұл аудит пен инцидент талдауда өте көмектеседі.

Практикалық мысал: кластер бойынша қорғанысты тосынсыз енгізу

Предпроверка перед включением защиты
Проверим прошивки, режим UEFI и цепочку загрузки до включения Secure Boot.
Запросить

Үш түйінді виртуализация кластері, жабдық бірдей. Бір хостта админ алдын ала микробағдарламаны жаңартып, Secure Boot‑ты бірден қосып тастады, қалған екісі сол күйінде қалды.

Secure Boot қосылғаннан кейін хост қайта жүктеліп, бірнешеуінің бірі ғана UEFI‑ге кіріп қалды: қара экран және тек UEFI кіруі. Сырттай «жүйе істен шықты» секілді көрінгенімен, шын мәнінде жүктеу тізбегі ығысты.

Диагностика бір сағаттан кем уақытты алды, өйткені тәртіппен тексерілді:

  • жүктеу шынымен UEFI ме, әлде Legacy/CSM бе деген тексеру
  • Boot Order‑ды салыстыру: микробағдарлама жаңартылған соң бірінші орынға басқа диск шыққан
  • Secure Boot кілттерін тексеру: режимде кілттер орнатылмаған (Secure Boot қосулы, бірақ сенетін кілт жоқ)
  • уақытша Secure Boot өшіріліп, жүктелді, күй тіркеліп, содан кейін кілттер дұрыстап орнатылып Secure Boot қайта қосылды

Қалған екі түйінде өзгерістер қадамдарға бөлінді: алдымен микробағдарлама және тексеру, содан кейін TPM және тексеру, соңында Secure Boot пен кілттер. Әр қадамнан кейін қайта жүктеу және жылдам тексеріс жүргізілді.

Келесі қадамдар: баптауды стандарттау және масштабтау

Бір түйінде қорғаныс реттелгеннен кейін негізгі тәуекел — серверлер арасында қолмен жасалған айырмашылықтар: бірінде Custom қойылған, екіншісінде Standard қалған, үшіншісінде біреу кілттерді өзгерткен. Кейін кез келген жаңарту лотереяға айналады.

Баптауды бірнеше нақты ережеге келтіріп, ішкі стандарт ретінде бекітіңіз: тек CSM‑сіз UEFI, біртұтас Secure Boot саясаты (режим және кілттерді кім өзгерте алатынын анықтау), өзгертулердің бөлек терезелері (микробағдарлама бөлек, Secure Boot бөлек), және кластердегі түйіндерді бір-бірлеп қосу.

Егер сіз тапсырыс бойынша енгізуді жоспарласаңыз, алдын ала интегратормен бір UEFI профилі мен тексеру тәртібін талқылаған жөн. GSE.kz (gse.kz) негізіндегі жобаларда осындай тәсіл әдетте партия бойынша бірдей баптаулар алуға көмектеседі және әр түйіннің «ерекшеліктерін» іздеуге аз уақыт жұмсайды.