安全启动密钥刷新 - 2024

在接下来的几天里，Rocky Linux 8 和 9 将发布更新，由于用于签名 x86_64（Intel/AMD）架构构建工件的 x509 证书即将过期，因此将更新一系列“关键路径”组件。虽然这是我们流程的正常部分，但关于此特定更新有几件重要事情需要了解。

紧急行动和关键日期

为确保您的系统安全和正常运行

• 自 2024 年 4 月 5 日起：一旦 Rocky Linux 8 和 9 的补丁可用，请尽快更新您的系统。
• 预计：在应用更新之前，可能会出现有关证书过期的消息/日志，这些可以安全地忽略。

关键更新包括

• 对于 Rocky Linux 8： fwupd-1.7.8-2.el8.rocky.0.3, grub2-2.02-150.el8.rocky.0.3, kernel-4.18.0-513.24.1, 和 shim-15.8-2。
• 对于 Rocky Linux 9： fwupd-1.8.16-1.el9.rocky.0.3, grub2-2.06-70.el9_3.2.rocky.0.5, kernel-5.14.0-362.24.1.el9_3.0.1, 和 shim-15.8-2。

发生了什么？

2024 年 4 月 11 日，用于签名 Rocky Linux 8 和 9 的 x86_64 工件的证书将过期。Rocky Linux 的发布工程和安全团队借此机会统一了所有安全启动证书的过期日期，其中一些证书的过期日期有所不同，因为它们是在周期中期引入的——UKI 内核就是此类证书的一个例子，它是在 8.9 和 9.3 中引入的。

因此，一些软件包将在没有相关上游更改的情况下收到更新和重新构建。同时，我们将为 Rocky Linux 发布 `shim` 包的 15.8 版本，该版本解决了上游发现的几个安全漏洞，并包含这些已更新的证书。

有什么影响？

尽管证书即将过期，但您的系统不会受到直接影响。在极少数情况下，可能会看到有关证书已过期的消息，但在系统更新到包含未过期证书的软件包之前，可以忽略这些消息。

由于安全启动链验证的实现方式存在细微差别，在确定是否信任特定工件时，不会考虑证书过期，因为在验证时没有可靠的时钟可用。

更新的软件包

将收到更新的软件包包括：grub2, fwupd, shim-x64, shim-a64，以及来自 Rocky 和两个产生内核的特殊兴趣小组（SIG/Kernel 和 SIG/Cloud）的内核。

对于 Rocky Linux 8，更新的 RPM 是

• fwupd-1.7.8-2.el8.rocky.0.3
• grub2-2.02-150.el8.rocky.0.3
• kernel-4.18.0-513.24.1.el8_9
• shim-15.8-2.el8

对于 Rocky 9，RPM 是

• fwupd-1.8.16-1.el9.rocky.0.3
• grub2-2.06-70.el9_3.2.rocky.0.5
• kernel-5.14.0-362.24.1.el9_3.0.1
• shim-15.8-2.el9

ARM 的安全启动

您可能已经注意到一个版本为 15.8 的 shim-a64 工件，这是因为 Rocky Linux 现在支持 aarch64 (Armv8) 上的安全启动！团队决定在更新到 15.8 版本时，我们将利用硬件分配，并开始为安全启动签署 ARM 组件，包括 fwupd、grub、kernel，当然还有 shim。

我们在各种云提供商上的测试在安全启动验证过程中成功启动，但如果您认识拥有 ARM 系统的人也想尝试一下，我们非常欢迎——请通过 Mattermost 联系我们：https://chat.rockylinux.org/

总结

Rocky Linux 团队正在发布一项重大更新，原因是用于签名 x86_64 架构构建工件的 x509 证书即将过期，这将影响 Rocky Linux 8 和 9。此过程预计不会产生任何影响，尽管用户可能会遇到关于证书过期日期的消息或日志，在应用更新之前这些都不是问题。

如果您有任何疑问、遇到任何问题或希望提供反馈，请通过我们的任何沟通方式与我们联系。如果您有独特的 Rocky 使用场景或部署，或者只是想分享一个更新故事（好的或坏的！），我们想听听您的声音！

顺便说一句，如果您想了解安全启动的介绍，请查看 Sherif Nagy（发布工程团队成员之一）去年夏天在 Flock 上发表的这个演示文稿。