安全启动密钥刷新 - 2024

在接下来的几天里，将发布针对 Rocky Linux 8 和 9 的更新，更新多个“关键路径”组件，这是由于用于签署 x86_64（Intel/AMD）架构构建工件的 x509 证书即将过期。虽然这是我们流程中的正常环节，但关于此特定更新，有一些重要事项需要了解。

立即采取的行动和关键日期

为确保您系统的安全性和正常运行

• 从 2024 年 4 月 5 日起：一旦 Rocky Linux 8 和 9 的更新补丁发布，请立即更新您的系统。
• 预期：在应用更新之前，可能会有关于证书过期的消息/日志 - 这些消息/日志可以安全地忽略。

关键更新包括

• 对于 Rocky Linux 8：fwupd-1.7.8-2.el8.rocky.0.3、grub2-2.02-150.el8.rocky.0.3、kernel-4.18.0-513.24.1 和 shim-15.8-2。
• 对于 Rocky Linux 9：fwupd-1.8.16-1.el9.rocky.0.3、grub2-2.06-70.el9_3.2.rocky.0.5、kernel-5.14.0-362.24.1.el9_3.0.1 和 shim-15.8-2。

正在发生什么？

2024 年 4 月 11 日，用于签署 Rocky Linux 8 和 9 的 x86_64 工件的证书将过期。Rocky Linux 的发布工程和安全团队借此机会统一了所有安全启动证书的过期时间，其中一些证书由于在周期中引入而具有不同的过期时间 - 例如，UKI 内核是在 8.9 和 9.3 中引入的，具有这种证书。

因此，多个软件包将进行更新和重建，而没有相关的上游更改。同时，我们将为 Rocky Linux 发布 shim 软件包的 15.8 版本，该版本修复了在上游发现的几个安全漏洞，并包含了这些更新的证书。

影响是什么？

尽管证书即将过期，但不会对您的系统造成直接影响。在某些情况下，您可能会看到有关证书过期时间已过去的某些消息，但这些消息可以在系统更新到包含未过期证书的软件包之前被忽略。

由于安全启动链验证的实现方式存在细微差别，因此在确定是否信任特定工件时不会考虑证书过期 - 因为在验证时没有可靠的时钟可用。

更新的软件包

将接收更新的软件包包括：grub2、fwupd、shim-x64、shim-a64 和来自 Rocky 以及两个生产内核的特殊兴趣小组 (SIG) 的内核：SIG/内核和 SIG/云。

对于 Rocky Linux 8，更新的 RPM 为

• fwupd-1.7.8-2.el8.rocky.0.3
• grub2-2.02-150.el8.rocky.0.3
• kernel-4.18.0-513.24.1.el8_9
• shim-15.8-2.el8

对于 Rocky 9，RPM 为

• fwupd-1.8.16-1.el9.rocky.0.3
• grub2-2.06-70.el9_3.2.rocky.0.5
• kernel-5.14.0-362.24.1.el9_3.0.1
• shim-15.8-2.el9

ARM 的安全启动

您可能已经注意到 shim-a64 工件的版本为 15.8，这是因为 Rocky Linux 现在支持 aarch64（Armv8）上的安全启动！团队决定在更新到 15.8 版本时，将利用硬件分配并开始签署 ARM 组件以进行安全启动，包括 fwupd、grub、内核，当然还有 shim。

我们在各种云提供商上的测试已成功地在进行安全启动验证的情况下启动，但如果您认识任何想要测试它的人，我们非常乐意 - 请通过 Mattermost 联系我们，地址为 https://chat.rockylinux.org/

总结

Rocky Linux 团队正在发布一个重大更新，这是由于用于签署 x86_64 架构构建工件的 x509 证书即将过期，影响到 Rocky Linux 8 和 9。预计此过程不会产生任何影响，但用户可能会遇到有关证书过期日期的消息或日志，这些消息或日志在应用更新之前不会造成任何问题。

如果您有任何问题，遇到任何麻烦，或希望提供反馈，请通过我们的任何通信方式与我们联系。如果您有独特的 Rocky 使用案例或部署，或者只是想分享一个更新故事（好坏皆可！），我们希望听到您的声音！

顺便说一句，如果您想了解安全启动的介绍，请查看 此演示文稿，该演示文稿是发布工程师团队成员之一 Sherif Nagy 在去年夏天 Flock 上发表的。