Supermicro AS-1115CS-TNR
Sissejuhatus
TODO
Secure Boot
Tööpõhimõte
Füüsilise platvormi ettevalmistamiseks tuleb sooritada BIOS keskkonnas sellised tegevused
- arvuti on puhtas UEFI režiimis, st lülitada välja CMS jms töörežiimid, ühilduvusrežiimid jms
- arvutis puudub secure boot krüptomaterjal, st väljendatakse, et arvuti asub nn 'Setup mode' režiimis
- tekitada nö tehase-võtmematerjal (st microsoft põhine; alternatiiv oleks kasutada oma konkreetsete lahendustega seotud materjali, nt kasutades eksootilist bootloaderit nt refind, ja tuletada tema .efi rakendusest hash jne)
- lülitada sisse secure boot 'User mode'
Väited
- kui operatsioonisüsteemi osakond on secure boot kasutuseks ettevalmistatud, siis ta töötab ka sisselülitamata secure boot platvormil; vastupidi ei tööta
Operatsioonisüsteemi ettevalmistamine
Lähtepunktiks on riistvaraline platvorm, kus puudub ka secure boot lahendusega seotud krüptomaterjal, operatsioonisüsteemi poolt vaadatuna paistab see nii
# mokutil --sb-state Setup mode
Operatsioonisüsteemi ettevalmistamine sõltub operatsioonisüsteemist, nt Proxmox PVE v. 8 puhul on vaja kasutada mitte systemd-boot bootloaderit, aga grub variatsiooni. Praktiliselt bootloaderiga tegelemine toimub ühteviisi proxmox-boot-tool utiliidi abil.
TODO
Platvormi krüptomaterjali tekitamine
Platvormiks nimetatakse arvuti riistvara koosseisu kuuluvat uefi osakonda. Käesoleval juhul keskendutakse tavalisele nö microsoft võtmematerjalil põhinevale lahendusele, st kuskil süsteemis on olemas microsoft sertifikaat jms, see paigutatakse sinne kust seda saab uefi kasutada. Selle juhtumiseks tuleb BIOS keskkonnas valida
Security -> TODO
Süsteemi lülitamine User mode režiimi
BIOS keskkonnas valida
Security -> TODO
Tulemuse kontrollimine
TODO
# mokutil --sb-state SecureBoot enabled
TODO
Kasulikud lisamaterjalid
Watchdog
TODO
Firmware uuendamine - BIOS
TODO
Firmware uuendamine - BMC
TODO
Kasulikud lisamaterjalid
- TODO
