セキュアブートなしでのインストール

非IncusOSイメージの起動を防ぎ、信頼された証明書をカーネルに提供することをIncusOSはセキュアブートに依存しています。しかし、一部のシステムは不完全な壊れたUEFI実装を持ちカスタムセキュアブートキーを登録できないことが知られています。

これらの壊れたシステムでIncusOSを動かしたいユーザーをサポートするため、セキュアブートを無効化できます。ただしこれは IncusOSサーバーのセキュリティー全体を弱める ことに注意してください。

• BIOSは任意のコードでシステムを起動することを許します。これは悪意のあるコードや攻撃者が支配しているコードを含みます。

• IncusOSはsystemd-bootスタブと起動したUKIがUEFIの計測とマッチし信頼された証明書で署名されていることを検証するために物理のTPM PCR4イベントに依存しています。これは通常はセキュアブートが有効であれば自動的に処理されますが、IncusOSはこれらのアクションをブートプロセスの早い段階で実行します。これはシステムへの物理アクセスを持つ攻撃者にいくつかの手段を与えます。

さらに、通常の運用に比べて下記の制約があります：

• ディスクの暗号化がPCR4になるため、IncusOSの古いバージョンで起動する際は暗号リカバリーパスフレーズの入力を必ず求められます。

• 暗号リカバリーパスフレーズは、例えばBMCエージェントを追加したり変更するなどして、システムのブートオーダーを変更した際にも必要となります。これで期待した変更であれば、手動でTPMバインディングをリセットする必要があります。

• 信頼された証明書は、セキュアブートで更新されるのではなく、IncusOSイメージ内に含まれるものが使われます。これは新しいセキュアブートキーが配布された際に、それを含むOSのアップデートが適用されるまでIncusOSはそのキーを使えないことを意味します。IncusOSサーバーが非常に古く、すべての利用可能なアップデートが新しいセキュアブートキーで署名されている場合、アップグレードに支障が出る可能性があります。

エンタープライズ環境でセキュアブートなしでIncusOSを稼働することは推奨されません。

セキュアブートなしで稼働する際IncusOSはステータススクリーンに目立つ警告を表示します。

警告

ここにドラゴンがいます！

セキュアブートなしでIncusOSを稼働させることは全体のセキュリティーを弱め、エンタープライズでの使用は推奨されないことを、再度強調しておく必要があります。

一度でもセキュアブートなしで起動したIncusOSはその事実を永久的に記録し、セキュリティーAPIのsystem_state_is_trustedフィールドでそのことを報告します。完全に信頼されないIncusOSシステムはオペレーションセンターやAPI経由でIncusOSとやりとりする他の製品での扱いが異なるかもしれません。

インストールシード

IncusOSのインストールシートを設定する際、security.missing_secure_bootフィールドをtrueに設定してください。これによりIncusOSがセキュアブートが無効な状態でも起動できるようになります。このオプションはBIOSでセキュアブートが無効な場合にのみ効力を持ちます。

ライブUSBドライブからの起動

IncusOSがライブUSBドライブから起動しセキュアブートが無効な場合、IncusOSは初回ブート時にセキュリティーの警告を30秒間表示します。その後通常通りブートを継続します。