Раздел «Загрузка ОС»

Быстрая загрузка#

Пункт «Быстрая загрузка» отображает список доступных носителей и режимов загрузки. Администратору доступен выбор следующих видов загрузки:

• «EFI-авто» – загрузка с различных устройств в соответствии со спецификацией UEFI http://www.uefi.org/specs/;

  Также в этом разделе отображаются носители, определенные через EFI-переменные. Например, для Windows будет отображаться строка «Windows Boot manager».

• «EFI-файл» – администратор может выбрать файл EFI-загрузчика или EFI-приложения для загрузки ОС;

• «Профили загрузки» – показывает существующие профили;
• «Сканировать носители» – позволяет обновлять список загрузочных устройств. Необходим для отображения только что подключенных USB-носителей.

Для загрузки ОС необходимо выбрать вариант загрузки и нажать клавишу Enter. ОС будет загружена с выбранного устройства.

Конфигуратор#

Настройка конфигурации загрузки (набора параметров, задающих режим, и источник загрузки) осуществляется из пункта «Конфигуратор» меню «Панель управления».

Операции управления конфигурациями загрузки осуществляются из основного пункта меню «Конфигуратор», которое содержит три раздела: «Профили загрузки», «Действия с профилями», «Параметры».

«Профили загрузки» содержит информацию о созданных ранее профилях загрузки. Если созданных профилей в Изделии нет, то пункт меню не отображается.

«Действия с профилями» содержит следующие подпункты:

• «Добавить профиль» – создание нового профиля загрузки;
• «Загрузить с USB» – импорт уже существующих профилей загрузки;
• «Сохранить на USB» – экспорт созданных профилей загрузки на USB-накопитель.

Параметр «Таймаут» предназначен для управления временем отображения главного меню до начала старта загрузки ОС из первого профиля. Может принимать значения от 1 до 30 секунд. При попытке ввода значения, не попадающего в данный интервал, автоматически восстановится текущее значение таймаута. Величина этого параметра отображается в счетчике обратного отсчета на форме «Главного меню». Работа счетчика останавливается при нажатии на любую клавишу. После этого выбор и загрузка может осуществиться только вручную.

Параметр «Разрешить протокол HTTP» позволяет осуществлять загрузку по сети при помощи незащищенного протокола http. Данный параметр необходимо использовать только для тестирования HTTP Boot. По умолчанию загрузка ОС при профиле загрузки с HTTP Boot осуществляется по защищенному протоколу https.

Создание нового профиля загрузки#

Для создания новой конфигурации профиля загрузки необходимо нажать кнопку «Ins» или выбрать пункт «Добавить профиль» и заполнить необходимые поля:

• «Имя профиля» – имя профиля, отображаемое в «Главном меню»;

• «Тип загрузки» – необходимо выбрать возможное загрузочное устройство. Доступны следующие типы загрузки:

  • EFI-загрузка (присутствует файл efi\boot\bootx64.efi). Отображается строкой «USB Hard Drive» или «EFI USB Device»;
  • Пользовательский тип - позволяет выбрать альтернативный EFI-загрузчик или настроить Linux-загрузку (если данный параметр включен в «Компонентах»);
  • HTTP Boot – загрузка полезной нагрузки по сети по протоколу HTTPS. Подробный процесс настройки профиля загрузки с типом загрузки HTTP Boot описан в разделе Настройка профиля загрузки с типом загрузки HTTP Boot.

  Примечание

  В зависимости от подключенных типов устройств наличие того или иного типа загрузки может отсутствовать.

• «Контроль целостности» – добавление нового файла в список проверяемых перед загрузкой ОС;

  Пункт «Контроль целостности» доступен для настройки только после первого сохранения созданного профиля загрузки и отображается серым цветом.

• «Сохранить профиль» – сохранение настроек профиля загрузки.

Управление существующими профилями загрузки осуществляется в разделе «Профили загрузки» меню «Конфигуратор».

Настройка порядка профилей загрузки в меню «Конфигуратор» осуществляется кнопками + (плюс) и – (минус). Порядок профилей загрузки, настраиваемым в данном меню будет отображаться в том же порядке в меню «Главное меню».

Настройка профиля загрузки с типом загрузки HTTP Boot#

Для возможности загрузки по HTTP Boot необходимо выполнить следующие действия:

1. для работы с HTTP Boot необходимо включить драйвера сетевого стека UEFI в разделе меню «Компоненты» → «Сетевой стек»;
2. в меню «Конфигуратор» создать профиль загрузки:
3. ввести имя профиля загрузки (произвольное);
4. в качестве типа загрузки выбрать «HTTP Boot»;

5. выбрать сетевой контролер, c помощью которого будет выполняться загрузка. Символом «*» отмечены устройства, к которым подключён сетевой кабель;

   

6. в поле «URI» указать полный адрес загружаемого образа ОС (см. рисунок ниже);

   Примечание

   В случае если порт отличается от стандартных (http – 80, https – 443), необходимо указать порт через двоеточие.

   

7. загружаемый образ должен иметь электронную подпись (далее – ЭП) для проверки его целостности и подлинности. Файл ЭП должен храниться на сервере в том же каталоге, что и загружаемый образ, и иметь наименование и расширение <Filename.iso>.sign, где Filename.iso – имя загружаемого файла ОС.

8. сертификат администратора безопасности для проверки ЭП может быть добавлен в локальное хранилище Изделия (см. раздел Сертификаты) или же располагаться на сервере в том же каталоге, что и загружаемый образ и иметь наименование и расширение <Filename.iso>.crt, где Filename.iso – имя загружаемого файла ОС. Поддерживаются PEM и DER форматы сертификатов.

   Корневой сертификат удостоверяющего центра должен быть заранее загружен в локальное хранилище сертификатов, после чего появится возможность загрузки локальных сертификатов администратора безопасности (см. раздел Сертификаты).

   Файл сертификата на сервере, аналогично файлу ЭП, должен находиться в том же каталоге, что и загружаемый образ, и иметь расширение *.crt.

   Примечание

   Поддерживаются форматы *.efi, *.iso, *.img для загружаемого образа ОС. Файл иного типа загружаться не будут!

   Подпись образа загружаемого файла ОС генерируется администратором на предприятии самостоятельно в доверенной ОС Astra Linux.

   Генерация сертификатов, подписей и ключей, включая TLS – являются средствами обеспечения целостности загружаемого образа операционной системы.

9. по умолчанию разрешено только защищенное https соединение. В отладочных целях доступно незащищённое соединение http. Для этого необходимо включить параметр «Разрешить протокол HTTP» в меню «Конфигуратор»;

   Внимание!

   Использование http соединения не в отладочных целях ЗАПРЕЩЕНО.

10. сохранить профиль загрузки;

11. перезагрузить Изделие, запустить созданный профиль.

Во время загрузки созданного профиля сначала выполняется последовательное скачивание файлов образа, подписи и сертификата (файл сертификата загружается при необходимости).

Проверка ЭП осуществляется в два этапа:

• с использованием локальных сертификатов, загруженных в «Сертификаты для HTTP Boot». Проверка будет выполняться, пока ЭП не будет успешно проверена;
• если ни один локальный сертификат не подошел, будет загружен и использован сертификат с удаленного сервера (CRT-файл).

После успешного выполнения всех процедур будет выполнена загрузка ОС.

При возникновении ошибок необходимо проверить, что сетевой кабель подключён в разъем СВТ, указанный при создании профиля загрузки, включен параметр «Сетевой стек» в меню «Компоненты», убедиться в наличии и правильности всех элементов для загрузки: подписанный файл-образ ОС, файл ЭП, файл сертификата для проверки ЭП.

Удаление профилей загрузки#

Для удаления профиля загрузки необходимо перейти на профиль загрузки и нажать кнопку Del.

Импорт профилей загрузки#

Для импорта ранее сохраненных настроек профилей из внешнего файла необходимо перейти в пункт «Загрузить с USB» выполнить следующие действия:

1. подключить USB–накопитель с файлом конфигурации;
2. выбрать пункт меню «Конфигуратор» → «Загрузить с USB»;
3. выбрать требуемый файл из каталога файлов устройства и нажать Enter.

В случае успешной загрузки конфигурации будет выдано соответствующее сообщение: «Конфигурация успешно сохранена!»

В случае выбора неподходящего файла будет выдано сообщение: «Ошибка! Неизвестный формат файла!»

Экспорт профилей загрузки#

Для того чтобы экспортировать конфигурацию во внешний файл на USB-накопитель, необходимо перейти в пункт меню «Конфигуратор» и выполнить следующие действия:

1. подключить USB-накопитель (с файловой системой формата FAT32);
2. выбрать пункт меню «Конфигуратор» → «Сохранить на USB».

В случае успешной выгрузки файла конфигурации будет выдано соответствующее сообщение: «Сохранение профилей завершено успешно!»

Файл с конфигурацией будет сохранен в корневом каталоге устройства с именем, соответствующим шаблону BootProfiles[YY-MM-DD].json, где YYMMDD – текущая дата

Настройка контроля целостности#

Настройка контроля целостности профиля загрузки производится в отдельном меню «Конфигуратор» → <Профиль загрузки> → «Контроль целостности».

Для добавления нового файла в список проверяемых перед загрузкой ОС файлов необходимо выполнить следующие действия:

1. нажать клавишу Ins;
2. выбрать устройство, с которого необходимо добавить файл;
3. выбрать требуемый файл и нажать Enter – файл появится в списке добавляемых файлов, справа будет выведена его контрольная сумма (см. рисунок выше);

4. для удаления файла из этого списка необходимо выделить его и нажать Enter (подтверждение не запрашивается);

   чтобы удалить все файлы из предварительного списка, необходимо выбрать пункт меню «Очистить список файлов»;

5. для добавления в список ещё одного файла необходимо вернуться к первому пункту;

6. после окончания процедуры добавления файлов следует выбрать пункт меню «Сохранить список файлов» и нажать Enter. На экране появится сообщение: «Список файлов сохранён!»

Для пересчета контрольной суммы необходимо выбрать пункт «Обновить контрольную сумму» и нажать клавишу Enter, после чего будет произведено автоматическое обновление контрольной суммы.