+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Зарегистрировать собственные ключи Secure Boot., Proxmox Виртуальная Среда

crabgrass

Guest

19.07.2024 16:39:00

Мне нужно протестировать развертывание Talos Linux с включенным SecureBoot. У образа Talos есть опция для записи своих ключей. Я делал это раньше на bare metal системах: захожу в UEFI прошивку, стираю текущие ключи, перезагружаю, включаю пользовательские ключи и загружаю образ Talos. Ключи записываются, и когда система перезагружается, я захожу в настройки UEFI и включаю SecureBoot. При загрузке Talos на его дашборде отображается, что SecureBoot включен. В Proxmox я создаю UEFI VM с EFI диском. Я пробовал и без предварительно записанных ключей, и с этой опцией включенной. При включении VM я сразу вижу сообщение: Enrolling secure boot keys from directory: \loader\keys\auto Failed to write PK secure boot variable: Security Violation. То же самое сообщение я получаю, когда загружаю образ Talos и выбираю автоматическую запись их ключей. Поиск не помог найти решение проблемы. Темы, которые я нашел, касаются установки Proxmox, а не SecureBoot внутри VM. Спасибо!

Nyanchovy

Guest

04.08.2024 16:58:00

Привет, не знаю, разобрался ли ты уже, но я всё равно отвечу, так как сам только что наткнулся на эту проблему и исправил её. Выбери второй вариант на экране загрузки TALOS "Reboot into firmware interface". Оттуда зайди в Device manager > Secure boot configuration > secure boot mode > custom mode – нажми Enter. Затем спустись на один пункт меню до "custom secure boot options" > PK options > enroll pk > enroll pk using file – нажми Enter. Оттуда выбери первый EFI disk > EFI > KEYS > uki-signing-cert.der – нажми Enter. Выбери "Commit changes and exit". Нажимай ESC, пока не вернёшься в верхнее меню, затем выбери "Reset". Теперь всё должно быть хорошо, и Talos загрузится в режим обслуживания с CD. Опции меню немного запутанные, и я не уверен, что это "правильный" способ, но мне помогло. Надеюсь, это поможет!

crabgrass

Guest

04.08.2024 17:16:00

Привет @Nyanchovy, спасибо, что поделился, это точно поможет. Я почти все бросил и попытался запустить Talos bare metal вместо этого. Получал те же ошибки и подумал, что, возможно, изменился iso-образ Talos. Запускал Talos 1.4 и 1.5 bare metal с secure boot на тех же системах. Раньше все работало как часы, так что я не совсем понимал, почему сейчас не работает. Попробую еще раз!

DelusionalAI

Guest

10.08.2024 05:18:00

Я тоже пытаюсь сделать именно так, но у меня та же проблема. Пытался записаться на сертификаты таким способом, но машина упорно возвращает настройки в "стандартный" режим вместо "пользовательского", и я не могу этого избежать.

bryvo01 Guest	#5 0 26.09.2024 17:36:00 Работает отлично — спасибо!

tradenet Guest	#6 0 16.02.2025 16:02:00 Попробовал это с Talos v1.9. Всё сделал как надо. Но постоянно получаю отказ в доступе.

Carr0t

Guest

21.05.2025 17:41:00

Если кто-то еще столкнется с теми же проблемами, что и я, то у меня заработало с Talos Linux 1.10.0 через 1.10.2. Похоже, ключевой момент в том, что IDE-устройства не поддерживаются процессом SecureBoot. И если вы используете веб-интерфейс Proxmox для создания новой VM, то когда он спрашивает образ установки во вкладке "OS", он не дает вам выбора, к какому шине привязано виртуальное CD-ROM устройство – оно всегда IDE. Поэтому после создания VM нужно удалить это устройство из аппаратного обеспечения VM и подключить эквивалентное CD-ROM с вашим SecureBoot ISO, но уже на шине SATA. Если вы используете CloudInit, то убедитесь, что он тоже находится на шине SATA, иначе конфигурация из него просто тихо не будет загружена и не будет использована установщиком Talos. Разумеется, если вы используете какой-то infra-as-code для настройки своих VM, вы можете указать CD-ROM устройства как SATA сразу в начале, но если вы изначально создали VM вручную, а затем использовали это как основу для определения вашего IaC, то у него, скорее всего, будут IDE-устройства. Как только это будет сделано, вам даже не придется вручную устанавливать SecureBoot ключи. Я сказал Proxmox _не_ предварительно заполнять диск какими-либо ключами при создании EFI-диска, и установщик Talos спокойно их зарегистрировал, перезагрузился, установил Talos и начал работать с жесткого диска. Ещё одна вещь, которую я сначала забыл, - это обновить образ машины в моей конфигурации, чтобы установщик устанавливал его. Получалось, что SecureBoot Talos загружался с виртуального CD, устанавливался Talos без SecureBoot на жесткий диск, а затем выдавал ошибку при перезагрузке, потому что установщик говорил, что Talos уже установлен, поэтому он не запускался, но жесткий диск не мог загрузиться, потому что SecureBoot ключи не были установлены. Так что убедитесь, что вы действительно говорите ему установить SecureBoot образ на HDD, если у вас есть конфигурация. Сгенерированный по умолчанию не работает для SecureBoot.

gmulvaney Guest	#8 0 22.05.2025 06:11:00 Не нужно менять тип устройства. Просто убедись, что снята галочка "Pre enroll keys" при создании ВМ.

Carr0t Guest	#9 0 22.05.2025 09:27:00 Пробовал это раньше, перешел на SATA. Не заработало, не мог найти загрузочное устройство. Cloud-init тоже не работал, если это было IDE-устройство вместо SATA, даже после того, как остальная установка завершилась.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры