Nâng cấp OneFS đã ký

Được giới thiệu như một phần của các cải tiến bảo mật OneFS, các bản nâng cấp đã ký giúp duy trì tính toàn vẹn của hệ thống bằng cách ngăn chặn cụm bị xâm phạm do cài đặt các gói nâng cấp bị sửa đổi một cách độc hại. Điều này được yêu cầu bởi một số yêu cầu tuân thủ bảo mật của ngành, chẳng hạn như Hướng dẫn về Yêu cầu bảo mật Quản lý thiết bị mạng của DoD, trong đó quy định “Thiết bị mạng phải ngăn chặn việc cài đặt các bản vá, gói dịch vụ hoặc thành phần ứng dụng mà không xác minh thành phần phần mềm đã được ký kỹ thuật số bằng chứng chỉ được tổ chức công nhận và chấp thuận”.

Với chức năng nâng cấp đã ký này, tất cả các gói phải được ký bằng mật mã trước khi có thể cài đặt. Điều này áp dụng cho tất cả các loại nâng cấp, bao gồm OneFS lõi, bản vá, chương trình cơ sở cụm và chương trình cơ sở ổ đĩa. Các thành phần cơ bản tạo nên tính năng này bao gồm định dạng .isi được cập nhật cho tất cả các loại gói, cùng với OneFS Catalog mới để lưu trữ các gói đã xác minh. Trong OneFS 9.4 trở lên, bản thân các bản nâng cấp thực tế vẫn được thực hiện bằng CLI hoặc WebUI và rất giống với các phiên bản trước.

Về cơ bản, quy trình nâng cấp đã ký hoạt động như sau:

Hình ảnh mô tả quá trình nâng cấp có chữ ký OneFS.

Mọi thứ đều đi qua danh mục, bao gồm bốn thành phần cơ bản. Có một cơ sở dữ liệu SQLite nhỏ theo dõi siêu dữ liệu, một thư viện có logic cơ bản cho danh mục, thư viện chữ ký dựa trên OpenSSL xử lý tất cả các xác minh và một vài thư mục để lưu trữ các gói đã xác minh.

Với các bản nâng cấp đã ký, chỉ cần tải xuống một tệp duy nhất chứa gói nâng cấp, văn bản README và tất cả dữ liệu chữ ký, không cần giải nén tệp.

Định dạng tệp .isi như sau:

Hình ảnh mô tả định dạng tệp .isi.

Hình ảnh mô tả định dạng tệp .isi.

Tệp văn bản ‘readme’ có thể được tích hợp trực tiếp vào vùng thứ hai của tệp gói, cung cấp hướng dẫn, yêu cầu về khả năng tương thích của phiên bản, v.v.

Vùng đầu tiên, chứa dữ liệu gói chính, cũng tương thích với các phiên bản OneFS trước đó không hỗ trợ định dạng .isi. Điều này cho phép cài đặt gói DSP chương trình cơ sở đã ký trên OneFS 9.3 trở về trước.

Danh mục OneFS mới cung cấp một nơi an toàn để lưu trữ các gói .isi đã xác minh và chỉ có tài khoản root mới có quyền truy cập trực tiếp. Bản thân danh mục được lưu trữ tại /ifs/.ifsvar/catalog và bạn có thể sử dụng lệnh CLI ‘isi upgrade catalog’ để duy trì và tương tác với i. Nội dung hoặc hiện vật của danh mục đều có ID tương ứng với hàm băm SHA256 của tệp.

Bất kỳ tài khoản người dùng nào có đặc quyền ISI_PRIV_SYS_UPGRADE đều có thể thực hiện các hành động liên quan đến danh mục sau, được thể hiện dưới dạng cờ cho lệnh isi upgrade catalog :

Hoạt động Sự miêu tả
Lau dọn Liệt kê các gói trong danh mục
Xuất khẩu Lưu mục danh mục vào vị trí tệp do người dùng chỉ định
Nhập khẩu Xác minh và thêm tệp gói .isi mới vào danh mục
Danh sách Liệt kê các gói trong danh mục
Đọc tôi Hiển thị văn bản README từ một mục danh mục hoặc tệp gói .isi
Di dời Xóa thủ công một gói khỏi danh mục
Sửa Xác minh lại tất cả các gói danh mục và xây dựng lại cơ sở dữ liệu
Xác minh Xác minh chữ ký của mục danh mục hoặc tệp gói .isi

Xác minh gói tận dụng thư viện OpenSSL của OneFS, cho phép băm SHA256 của manifest được xác minh với chứng chỉ. Là một phần của quy trình này, chuỗi tin cậy cho chứng chỉ được bao gồm được so sánh với nội dung của thư mục /etc/ssl/certs và tên phân biệt trên tệp /etc/upgrade/identities đã kiểm tra. Cuối cùng, băm SHA256 của vùng dữ liệu được so sánh với các giá trị từ manifest.

Để kiểm tra chữ ký, hãy sử dụng lệnh isi upgrade catalog verify . Ví dụ:

# isi nâng cấp danh mục xác minh --file /ifs/install.isi
Mục đã được xác minh
--------------------------
/ifs/install.isi Đúng
--------------------------
Tổng cộng: 1

Có thể sử dụng lệnh xem isi_packager để biết thêm thông tin chi tiết về hình ảnh cài đặt

# isi_packager xem --package /ifs/install.isi
== Khu vực 1 ==
Loại: OneFS Cài đặt hình ảnh
Tên: OneFS_Install_0x90500B000000AC8_B_MAIN_2760(PHÁT HÀNH)
Băm: ef7926cfe2255d7a620eb4557a17f7650314ce1788c623046929516d2d672304
Kích thước: 397666098
 
== Chi tiết chân trang ==
Phiên bản định dạng: 1
 Kích thước bản kê khai: 296
Kích thước chữ ký: 2838
Kích thước dấu thời gian: 1495
 Băm biểu hiện: 066f5d6e6b12081d3643060f33d1a25fe3c13c1d13807f49f51475a9fc9fd191
Băm chữ ký: 5be88d23ac249e6a07c2c169219f4f663220d4985e58b16be793936053a563a3
Dấu thời gian băm: eca62a3c7c3f503ca38b5daf67d6be9d57c4fadbfd04dbc7c5d7f1ff80f9d948
 
== Chi tiết chữ ký ==
Dấu vân tay: 33fba394a5a0ebb11e8224a30627d3cd91985ccd
Nhà phát hành: ISLN
Chủ đề: Hoa Kỳ / Tây Úc / Biển / Đảo OneFS.
Tổ chức: Isln Powerscale OneFS
Hết hạn: 2022-09-07 22:00:22
Sử dụng khóa mở rộng: codedesigning
Sử dụng lệnh sau để liệt kê các gói trong danh mục:
# danh sách danh mục nâng cấp isi
Loại ID Mô tả README
-------------------------------------------------- --------------------------
cdb88 OneFS OneFS 9.4.0.0_build(2797)style(11) / B_MAIN_2797(PHÁT HÀNH) -
3a145 DSP Drive_Support_v1.39.1 Đã bao gồm 
Bản vá 840b8 HealthCheck_9.2.1_2021-09 Đã bao gồm 
Bản vá aa19b 9.3.0.2_GA-RUP_2021-12_PSP-1643 Đã bao gồm
-------------------------------------------------- --------------------------
Tổng cộng: 4

Lưu ý rằng ID gói bao gồm một vài ký tự đầu tiên của hàm băm SHA256.

Các gói được tự động nhập khi sử dụng và được xác minh khi nhập. Xác minh và nhập cũng có thể được thực hiện thủ công, nếu muốn:

# isi nâng cấp danh mục xác minh --file Drive_Support_v1.39.1.isi 
Mục đã được xác minh 
--------------------------------------------------
/ifs/packages/Drive_Support_v1.39.1.isi Đúng 
-------------------------------------------------- 
# isi nâng cấp danh mục nhập khẩu Drive_Support_v1.39.1.isi

Các gói cũng có thể được xuất từ ​​danh mục và sao chép sang cụm khác, ví dụ. Nhìn chung, các gói đã xuất cũng có thể được nhập lại.

# danh sách danh mục nâng cấp isi 
Loại ID Mô tả README 
-------------------------------------------------- --------------------------
00b9c OneFS OneFS 9.5.0.0_build(2625)style(11) / B_MAIN_2625(PHÁT HÀNH) – 
3a145 DSP Drive_Support_v1.39.1 Đã bao gồm 
-------------------------------------------------- --------------------------
Tổng cộng: 5 
# isi nâng cấp danh mục xuất khẩu --id 3a145 --file /ifs/Drive_Support_v1.39.1.isi

Tuy nhiên, không thể nhập lại các hình ảnh OneFS được tạo tự động.

Cột README của danh sách danh mục nâng cấp isi cho biết liệu ghi chú phát hành có được bao gồm cho tệp .isi hay mục danh mục hay không. Nếu có, bạn có thể xem chúng như sau:

# isi nâng cấp danh mục readme --file HealthCheck_9.2.1_2021-09.isi | ít hơn
Cập nhật: 02 tháng 9 năm 2021
**************************************************** *************************
HealthCheck_9.2.1_2021-09: Bản vá cho OneFS 9.2.1.x. 
Bản vá này chứa RUP 2021-09 cho Hệ thống Isilon HealthCheck 
**************************************************** *************************
Bản vá này có thể được cài đặt trên các cụm chạy phiên bản OneFS sau: 
* 9.2.1.x 
:

Trong tệp readme, thông tin chi tiết thường bao gồm mô tả ngắn về hiện vật và phiên bản OneFS tối thiểu mà cụm phải chạy để cài đặt.

Việc dọn dẹp các bản vá và hình ảnh OneFS được thực hiện tự động khi cam kết và bất kỳ gói nào đã cài đặt đều yêu cầu hiện vật phải có trong danh mục để gỡ cài đặt thành công. Tương tự như vậy, hình ảnh OneFS đã cam kết là bắt buộc đối với cả việc xóa bản vá và mở rộng cụm bằng cách thêm nút.

Bạn có thể xóa các hiện vật theo cách thủ công như sau:

# isi nâng cấp danh mục xóa --id 840b8 
Thao tác này sẽ xóa hiện vật đã chỉ định và mọi siêu dữ liệu liên quan. 
Bạn có chắc chắn không? (có/[không]): có

Tuy nhiên, hãy luôn thận trọng nếu bạn cố gắng xóa gói theo cách thủ công.

Khi nói đến việc quản lý danh mục, chức năng ‘dọn dẹp’ sẽ xóa mọi tệp tin hiện vật trong danh mục không có mục nhập cơ sở dữ liệu, mặc dù thông thường điều này sẽ tự động xảy ra khi một mục bị xóa.

# isi nâng cấp danh mục sạch 
Thao tác này sẽ xóa mọi hiện vật không có siêu dữ liệu liên quan trong cơ sở dữ liệu. 
Bạn có chắc chắn không? (có/[không]): có

Ngoài ra, chức năng ‘sửa chữa’ danh mục sẽ xây dựng lại cơ sở dữ liệu, nhập lại tất cả các mục hợp lệ và xác minh lại chữ ký của chúng:

# isi nâng cấp danh mục sửa chữa 
Thao tác này sẽ cố gắng sửa chữa thư mục danh mục. Thao tác này sẽ dẫn đến việc tất cả các hiện vật được lưu trữ được xác minh lại. Các hiện vật không được xác minh sẽ bị xóa. Ngoài ra, một thư mục danh mục mới sẽ được khởi tạo với các hiện vật còn lại. 
Bạn có chắc chắn không? (có/[không]): có

Khi cài đặt bản nâng cấp, bản vá, chương trình cơ sở hoặc gói hỗ trợ ổ đĩa (DSP) đã ký trên cụm chạy OneFS 9.4 trở lên, cú pháp lệnh được sử dụng về cơ bản giống như trong các phiên bản OneFS trước đó: chỉ có phần mở rộng tệp là thay đổi. Tệp cài đặt thực tế sẽ có phần mở rộng ‘.isi’ và tệp chứa giá trị băm để xác minh tải xuống sẽ có hậu tố ‘.isi.sha256’. Ví dụ, hãy lấy các tệp cài đặt OneFS:

  • OneFS_v9.5.0.0_Cài đặt.isi
  • OneFS_v9.5.0.0_Cài đặt.isi.sha256

Bạn có thể sử dụng cú pháp sau để bắt đầu nâng cấp OneFS song song đã ký:

# isi nâng cấp bắt đầu --install-image-path /ifs/install.isi -–parallel 

Ngoài ra, nếu gói hình ảnh nâng cấp mong muốn đã có trong danh mục, bạn có thể cài đặt nó bằng cách sử dụng cờ —install-image-id :

# isi nâng cấp bắt đầu --install-image-id 00b9c –parallel

Hoặc để nâng cấp chương trình cơ sở của cụm:

# isi nâng cấp chương trình cơ sở bắt đầu --fw-pkg /ifs/IsiFw_Package_v10.3.7.isi –-rolling

Và để nâng cấp chương trình cơ sở của cụm bằng cách sử dụng ID của gói có trong danh mục:

# isi nâng cấp chương trình cơ sở bắt đầu --fw-pkg-id cf01b -–rolling

Để bắt đầu nâng cấp đồng thời một bản vá:

# isi nâng cấp bản vá cài đặt --patch /ifs/patch.isi -–đồng thời 

Và cuối cùng, để bắt đầu nâng cấp đồng thời gói chương trình cơ sở của ổ đĩa:

# isi_dsp_install Hỗ trợ ổ đĩa_v1.39.1.isi

Lưu ý rằng các bản vá lỗi và chương trình cơ sở hỗ trợ ổ đĩa hiện không thể được cài đặt theo ID gói của chúng.

Một hình ảnh nâng cấp đã cam kết từ bản nâng cấp OneFS trước đó được tự động lưu trong danh mục và cũng được tự động tạo khi một cụm mới được cấu hình. Hình ảnh này là bắt buộc đối với các node join mới và khi gỡ cài đặt bản vá. Tuy nhiên, cần lưu ý rằng các hình ảnh được tạo tự động sẽ không có chữ ký và mặc dù bạn có thể xuất chúng, bạn không thể nhập lại chúng vào danh mục.

Nếu hình ảnh nâng cấp đã cam kết bị thiếu, các sự kiện CELOG sẽ được tạo và đầu ra lệnh sửa chữa danh mục nâng cấp isi sẽ hiển thị lỗi. Ngoài ra, khi nói đến việc khắc phục sự cố quá trình nâng cấp đã ký, bạn có thể kiểm tra cả /var/log/messages và /var/log/isi_papi_d.log, cũng như nhật ký nâng cấp OneFS.

Tác giả : Nick Trimbee