vSphere Trust Authority
بصراحه انا كنت ناوى اتكلم عن vSphere Trust Authority بس لاقيت ماينفعش اتكلم عن vSphere Trust Authority من غير مااشرح الاول Secure Boot for ESXi 6.5 Hypervisor ونفهم بتشتغل ازاى فهاتك قهوتك وركز معايا
Secure Boot for ESXi 6.5 Hypervisor
الاول خلينى اقولك ان Secure Boot ده عباره عن برتكول موجود فى UEFI Firmware وطبعا زى مااحنا عرفين ان UEFI Firmware هو التحديث بتاع Traditional BIOS firmware اللى كلنا عارفينو الخاص باجهزه السرفير والوركستيشن وطبعا UEFI Firmware فى خصائص كتير جدا انا مش حابب اتكلم عنها دلوقتى لانها هتخلى المقال يبقى طويل جدا وممل لكن اللى عاوزك تعرفه ان كل السرفيرات حاليا بتيجى UEFI Firmware ومنها اقدر افعل خصيه Secure Boot اللى وظيفتها تتاكد ان boot loader الخاص بال OS مش مخترق عن طريق التحقيق والتاكيد من digital signature الخاصه boot loader عن طريق digital certificate اللى موجوده فى UEFI Firmware وسريعا كده قبل ما نبتدى نشرح عميله Secure Boot بالتفصيل خلينا نفتكر سوا ايه هو Boot loader
Boot loader
هو عباره عن برنامج صغير خاص بال OS بيكون موجود فى Memory بحيث انك لما بتعمل powered-up or restart للسرفير بيبتدى يشتغل وبعدين BIOS بيعمل Test على الهاردوير الموجوده فى السرفير وبعد كده بيروح لمرحله Master Boot Record (MBR) اللى بيتدى من خلالها انه يحمل boot loader فى Memory دلوقتى بعض الكمبيوتر بتيجى بال boot loader الخاص بيها اذا كان Microsoft Windows or the Mac OS اما اذا كنت ناوى تستخدم Linux فى الحاله دى انت محتاج تنزل boot loader الخاص بيه اللى هو فى الحاله بتاعتنا يكون VMware boot loader
Secure Boot for ESXi 6.5 Hypervisor
زى ما احنا عرفنا ان خاصيه Secure Boot الموجوده فى UEFI Firmware هتتاكد digital signature الخاصه بال boot loader ازاى بقى عن طريق Certificate موجوده فى UEFI Firmware بتكون x509 Microsoft UEFI Public CA cert وبيكون فيها Public Key بحيث ان VMware وهى بتعمل boot loader هتشفر المفات بحيث يكون ليها digital signature باستخدام Certificate دى ساعتها UEFI Firmware يقدر يكتشف ان ملفات boot loader كلها صحيحه ولا لا
لان بعض root kit لما بتصيب OS بتقدر تغيير ملفات boot loader وساعتها لو احنا مفعلين خاصيه Secure Boot وعملت ريسترت للسرفير الجهاز مش هيعمل Boot لانه UEFI Firmware هيكتشف ان boot loader متغييره و digital signature مش صحيحه وده معناه انه تم اتخراق boot loader وفى الحاله دى مش هيكمل عمليه Boot
مش بس كده ده كمان UEFI Firmware بيكون عنده signature database فيها whitelist signature & blacklist signature وكمان Key Exchange Keys (KEK) database وكل ده بيحصله تحديث لما بتعمل Firmware Update
المرحله التانيه boot loader هيبتدى يتاكد من digital signature الخاصه VM Kernel ازاى بقى بنفس الطريقه VMware هتحط Public Key Certificate فى boot loader code وهتشفر ملفات VM Kernel بنفس Certificate دي بحيث ان boot loader يقدر يتاكد من digital signature الخاصه بملفات VM Kernel واى تغيير هيحصل فى VM Kernel هيقدر يكتشفها boot loader لان digital signature للملفات هتتغير
المرحله الثالثه بنفس Public Key Certificate هيستخدمها VM Kernel فى انه يتاكد من VIB package عن طريق انه هيشغل سرفيس اسمها Secure Boot Verifier بتكون مسؤله عن انه تتاكد من كل الملفات اللى هيقولها عليها VIB package عن طريق VMware Public Key Certificate الموجوده فى Secure Boot Verifier code معنى ده اننا هنستخدم VMware Public Key Certificate مره مع Boot Loader والمره التانيه مع Secure Boot Verifier كده انت مركز معايا ياله نكمل
سريعا كده ايه هو VIB هو عباره عن package تقدر تقول ارشيف لمفات بيكون TAR g-zipped file ومعاهم XML file بيكون موجود فيه system file الخاصه بال EXSI وال digital signature الخاصه بكل file
لما بيتدى ESXI يعمل Boot بيبتدى يكتب File System فى Memory بناءا على VIB Package طول ما file system متعرفه جوه VIB Package المشفره انا مش محتاج انى اتاكد من كل ملف لوحده كفايه انى اتاكد من Package وده عشان يقلل الوقت اللى بيعمل فيه ESXI boot
اخيرا بعد ما Secure Boot Verifier هيتاكد من VIB package زى ماوضحنا ال ESXI هيحصله Boot وهيتشغل
بيدعم ESXI علميه Secure Boot من اول اصدار VSphere 6.5 وخلى بالك ان عمليه Upgrade مع تفعيل خاصيه Secure Boot بتعمل مشاكل كتير فلازم الاول تجربها فى Test Environment الخاصه بيك الاول وتشوف المشاكل اللى هتقبلها وتحلها قبل ما تطبقها على Production Environment مع انى افضل Fresh installation لكن فى بعض الحالات بنكون محتاجين نعمل Upgrade فخلى بالك لانك هتشوف purple screen كتير بالذات لو السرفيرات بتاعتك قديمه وال Firmware مش محدث وكمان ESXI بتاعك اصدار قديم
مش هطول المقال اكتر من كده وهخلى المقال ده اساس لكام مقال جاى واتمنى اكون فيدتكم بمعلومه بسيطه