Para hablar de Secure boot en Linux primero hay que hablar de UEFI y secure boot.

UEFI es el sustituto de la BIOS, la cual hoy día está en desuso debido a que UEFI es mucho más avanzado, con una interfaz más intuitiva y transparente para el usuario.

Además, tiene un modo de emulación de BIOS para sistemas no compatibles con UEFI, por lo que es el sustituto ideal al añadir compatibilidad a sus características.

Imagen de una BIOS estándar.

 

Secure Boot es una parte de UEFI que impide la ejecución de cualquier software no firmado y certificado por el fabricante, es decir, en caso de detectar algo que no debería estar, o un supuesto atacante que estuviese en el inicio, frustraría su intento al detenerse la ejecución del sistema.

Esta característica la incluye HyperV desde Server 2012 R2, pero claro, únicamente para sistemas Windows, dejando Linux al margen al no disponer de drivers firmados por ser libre.

Pero esto en Windows Server 2016 ha cambiado, ya que HyperV incluye Secure Boot para ciertas distribuciones de Linux, y es que, al parecer, a los de redmon les está gustando el universo Linux y haciendo cada vez más compatible su sistema con él (como los alias “de serie” para que ciertos comandos Linux funcionen en Windows, resultando más sencillo al usuario Linux pasarse o usar a diario Windows).

Por el momento los sistemas compatibles con Secure Boot en Server 2016 son:

  • Ubuntu 14.04 y superior.
  • SUSE Linux Enterprise server 12 y superior.
  • Red Hat Enterprise 7 y superior.
  • CentOS 7 y superior.

Para ello es necesario un Windows Server 2016 y una Máquina virtual de segunda generación de HyperV, luego en la pestaña de “Firmware” se habilita Secure boot, “habilitar arranque seguro” en español.

Imagen de Secure Boot en una máquina virtual de Windows.

 

También se puede ver y modificar Secure Boot con los cmdlets “Set-VMFirmware” y “Get-VMFirmware”.

Imagen de cmdlet para comprobar Secure boot.

 

Entrada desarrollada por:

Álvaro Cascajero Quero

Alumno del curso Microsoft MCSA Windows Server 2012/MCSE Private Cloud en centro Tajamar.

Centro: Tajamar

Año académico: 2015-2016