本文介绍如何使用和运维基于vTPM的可信实例,包括快速筛选实例、查看实例可信状态、处理相关状态异常等操作。
查看实例的可信状态
创建实例时会启动度量基准,与后续实例启动的度量值进行比较,以确定该实例是否有任何更改,并将度量结果(即是否可信的状态)呈现在云安全中心控制台。
登录ECS管理控制台。
在左侧导航栏,选择 。
在实例列表页面,单击标签筛选,选择acs:ecs:supportVtpm标签,筛选可信实例。
单击要查看的可信实例操作系统列的图标。
系统会自动跳转到云安全中心控制台的主机资产。
单击可信信息页签,查看实例的可信状态。
①资产启动概况区域中的圆圈与②资产中组件可信状态区域中的组件列表一一对应。①资产启动概况区域中圆圈的颜色代表了该环节是否正常:
如果圆圈全部是绿色,代表实例启动过程是正常的。相应的,实际度量值(即,系统可信功能收集到的实际状态)和标准值都一致。
如果启动过程中某一环节出错,则对应的圆圈会变为红色,其后的圆圈变为灰色。您可以在安全告警处理页签中查看该环节的具体信息,并尝试修复。具体操作,请参见处理可信异常。
说明如果在可信信息页签下显示设备处于未度量状态,表示可信实例长时间未上报有效度量结果,这时云安全中心控制台也不会展示详细的可信信息。关于如何处理未度量情况,请参见处理未度量状态。
PCR即平台配置寄存器(Platform Configuration Register),是可信安全设备的存储单元,能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节,PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致,则认为该环节符合预期。每个环节中度量的对象如下:
pcr0:表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。
pcr1:表征主机平台配置。
pcr2:表征UEFI驱动、应用代码。
pcr3:表征UEFI驱动、应用配置、应用数据。
pcr4:表征UEFI启动管理代码(通常是MBR)。
pcr5:表征UEFI启动管理代码(通常是MBR)、启动相关数据(由UEFI启动管理代码使用的数据)、GPT分区表。
pcr6:表征平台生产厂商定义的特定UEFI固件。
pcr7:表征安全启动策略。
pcr8:表征在grub.cfg等配置文件中规定执行的关键命令(不会度量非关键命令,例如定义启动菜单标题的命令),以及传递给Linux内核的命令行信息。
pcr9:表征GRUB模块、Linux内核和initramfs。
说明ISO提供了详细的定义,具体信息,请参见ISO国际标准《ISO/IEC 11889:2015 Trusted Platform Module Library》。
处理可信异常
如果启动过程中某一环节出错,则可信信息页签下对应的圆圈会变为红色,您需要前往安全告警处理页签查看详细告警信息并修复异常状态。
单击安全告警处理页签,选择告警类型为可信异常。
在告警信息的右侧,单击详情查看具体报错信息。
说明如果安全告警信息一直未处理,会周期性提示,但不会产生多条告警信息,只在最近发生时间显示最近一次告警的时间。
联系系统管理人员,确认近期是否进行过系统升级与维护操作,例如升级操作系统内核、改变操作系统启动参数以及修改初始文件系统(initramfs)等,然后根据不同情况采取不同方式来修复可信异常。
场景一:近期没有进行系统升级或维护操作,检查修复后忽略告警。
该场景下出现异常告警,可能是因为您的实例发生了安全事件,例如受到RootKit或BootKit等恶意软件的破坏。建议您与系统管理人员深入检查系统和修复相关异常,然后忽略告警。操作步骤如下:
建议您开启和使用云安全中心的病毒防御和漏洞修复功能,然后升级最新病毒库,检查当前系统内的恶意软件情况,并最终修复系统。
在安全告警处理页签,单击处理。
选择忽略,然后单击立即处理。
如果多个实例中存在相同告警,您可以选择同时处理相同告警,批量处理各实例中的相同告警。
重要以忽略方式处理的告警,依旧会显示在可信信息页签中。并且,由于云安全中心会周期性产生安全告警,该告警会持续产生。这些情况会持续存在,直到您重新启动系统并通过校验为止。
场景二:近期进行了系统升级或维护操作,检查修复后加白名单。
如果近期进行过系统升级或维护操作,则升级或维护后的系统状态应成为您系统的新的标准状态,启动中各环节的状态值也应成为对应PCR的新的标准值。因此,在该场景下您需要进行加白名单的操作。
加入白名单后,安全告警中收集到的实际度量值,将转化为新的标准值。
处理未度量状态
如果在可信信息页签下显示设备处于未度量状态,表示可信实例长时间未上报有效度量结果,通常是因为可信客户端无法访问可信服务。您可以按照以下步骤排查:
排查实例RAM角色。
如果您没有为可信实例设置过RAM角色,请按要求设置RAM角色。
如果您已经为可信实例设置了RAM角色,请确认RAM角色是否拥有了访问可信服务所需的权限。更多信息,请参见创建可信实例。
排查网络连接。
在可信实例中运行以下命令排查网络连接情况:
ping trusted-server-vpc.<region-id>.aliyuncs.com
请将<region-id>替换为可信实例所在地域的ID,如果运行命令后有返回值则说明网络连接正常。
排查安全组设置。
请检查可信实例所属安全组的设置,确认没有禁止访问
trusted-server-vpc.[region-id].aliyuncs.com
。排查客户端工作状态。
执行
systemctl status t-trustclient
查看客户端状态,如果状态不为running
,请执行systemctl restart t-trustclient
重启客户端。