buchachon - Fotolia
Wie wirkt sich Linux Secure Boot auf Hyper-V 2016 VMs aus?
Linux Secure Boot hilft dabei, dass Sie auch wirklich ein vertrauenswürdiges Betriebssystem starten. Allerdings gibt es viele Distributionen mit unterschiedlichen Signaturen.
Linux gehört zu einem modernen Data Center dazu. Unternehmen nutzen es oft, um Kosten zu senken und sich nicht mit Lizenzen plagen zu müssen. Die Unterstützung für eine steigende Anzahl an Open Source Frameworks und Workloads nimmt immer weiter zu. Die Herausforderung bei Linux ist in erster Linie, es auf einem modernen Computer zu installieren.
Die meisten Computer, die seit 2012 produziert wurden, enthalten UEFI-Firmware (Unified Extensible Firmware Interface). Ungefähr zur gleichen Zeit wurde – nebenbei bemerkt –Windows 8 veröffentlicht. UEFI-Firmware bietet ein flexibles, modulares Design, durch das Firmware-Hersteller viele verbesserte Funktionen implementieren können, die Sie in einem herkömmlichen BIOS (Basic Input/Output System) nicht finden. Eine solche UEFI-Funktion ist Linux Secure Boot.
Das Ziel von Linux Secure Boot ist es, dass nur vertrauenswürdige Betriebssysteme das System starten dürfen. Die Betriebssysteme enthalten eine digitale Signatur, die von Linux Secure Boot überprüft wird. Vertraut die Firmware der digitalen Signatur des installierten Betriebssystems, fährt sich der Computer hoch. Ist das nicht der Fall, startet der Rechner nicht. Auf diese Weise lassen sich Rootkits und andere Malware bekämpfen. Sie können den Boot Manager nicht infizieren und verändern.
Die Vorteile und Grenzen von Linux Secure Boot kennen
Linux Secure Boot ist keine neue Idee, aber es hat eine Lücke für Nicht-Windows-Betriebssysteme gefüllt. Viele Linux-Distributionen waren nicht signiert oder in der Secure-Boot-Plattform von UEFI enthalten.
Bei einem herkömmlichen, physischen PC war deswegen Windows nicht einfach mit Linux zu ersetzen. Das System startete einfach nicht oder warf jede Menge UEFI-Fehler aus. In einem virtualisiertem Data Center startet Linux vielleicht nicht in einer Hyper-V VM, die auf einem Windows- oder UEFI-Host-Server installiert ist.
Das Problem ist, mithilfe des Boot Loaders Shim zu umgehen, den es für große Versionen von Ubuntu, Fedora, openSUSE und Red Hat Enterprise Linux gibt. Der Boot Loader Shim ist eine Brücke zwischen dem Betriebssystem und Linux Secure Boot, um die Signatur des Betriebssystems zu bestätigen. Dadurch konnte der Bootvorgang fortgesetzt werden.
Es gab nur eine Möglichkeit, die Boot-Fehler zu umgehen und ein nicht signiertes Betriebssystem zu starten. Dazu musste die Funktion Linux Secure Boot in der Firmware deaktiviert werden. Das gilt für durchschnittliche Anwender oder ein Enterprise Data Center aber sicherlich nicht als Best Practice. Schließlich handelt es sich um eine wichtige Sicherheitsfunktion.
Seit Windows Server 2016 enthält die UEFI-Firmware viel mehr vertrauenswürdige Signaturen der großen Linux-Distributionen. Das Ziel ist es, Linux als Hyper-V-Gastsystem besser zu unterstützen, ohne dass Sie auf die Sicherheit verzichten müssen, indem Sie Linux Secure Boot deaktivieren. Die Implementierung von Linux Secure Boot wirkt sich normalerweise nicht auf die Erstellung einer VM und deren Verwendung aus. Sie sollten sich aber immer erkundigen, ob eine bestimmte Linux-Distribution für Linux Secure Boot signiert ist.