Перейти к содержанию

Раздел «Загрузка ОС»

Быстрая загрузка#

Пункт «Быстрая загрузка» отображает список доступных носителей и режимов загрузки. Администратору доступен выбор следующих видов загрузки:

  • «EFI-авто» – загрузка с различных устройств в соответствии со спецификацией UEFI http://www.uefi.org/specs/;

    Также в этом разделе отображаются носители, определенные через EFI-переменные. Например, для Windows будет отображаться строка «Windows Boot manager».

  • «EFI-файл» – администратор может выбрать файл EFI-загрузчика или EFI-приложения для загрузки ОС;

  • «Legacy-загрузка» – загрузка ОС через MBR сектор носителя;

    При данном типе загрузки возможность загрузки с USB-флеш-накопителей определяется настройкой в подразделе «Компоненты» параметром «Драйвер USB Legacy».

  • «Профили загрузки» – показывает существующие профили;

  • «Сканировать носители» – позволяет обновлять список загрузочных устройств. Необходим для отображения только что подключенных USB-носителей.

Для загрузки ОС необходимо выбрать вариант загрузки и нажать клавишу Enter. ОС будет загружена с выбранного устройства.

Конфигуратор#

Настройка конфигурации загрузки (набора параметров, задающих режим, и источник загрузки) осуществляется из пункта «Конфигуратор» меню «Панель управления».

Нарушение целостности загружаемой программной среды, нарушение целостности оборудования или параметров загрузки, заданных в «Конфигураторе», приведет к блокированию загрузки ОС.

Операции управления конфигурациями загрузки осуществляются из основного пункта меню «Конфигуратор», которое содержит три раздела: «Профили загрузки», «Действия с профилями», «Параметры».

«Профили загрузки» содержит информацию о созданных ранее профилях загрузки. Если созданных профилей в Изделии нет, то пункт меню не отображается.

«Действия с профилями» содержит следующие подпункты:

  • «Добавить профиль» – создание нового профиля загрузки;
  • «Загрузить с USB» – импорт уже существующих профилей загрузки;
  • «Сохранить на USB» – экспорт созданных профилей загрузки на USB-накопитель.

Пункт «Профили загрузки» содержит информацию о созданных профилях, и дают возможность изменять настройки профилей.

Параметр «Таймаут» предназначен для управления времени отображения главного меню, до начала старта загрузки ОС из первого профиля – минимум 1 секунда, максимум 30. При попытке ввода значения, не попадающего в данный интервал, автоматически восстановится текущее значение таймаута. Величина этого параметра отображается в счетчике обратного отсчета на форме «Главного меню». Работа счетчика останавливается при нажатии на любую клавишу. После этого выбор и загрузка может осуществиться только вручную администратором.

Параметр «Разрешить протокол HTTP» позволяет осуществлять загрузку по сети при помощи незащищенного протокола http. Данный параметр необходимо включать только для тестирования HTTP Boot. По умолчанию загрузка ОС при профиле загрузки с HTTP Boot будет осуществляться по защищенному протоколу https.

Создание нового профиля загрузки#

Для создания новой конфигурации профиля загрузки необходимо нажать кнопку Ins или выбрать пункт «Добавить профиль» и заполнить необходимые поля:

  • «Имя профиля» – имя профиля, отображаемое в «Главном меню»;

  • «Тип загрузки» – необходимо выбрать возможное загрузочное устройство.

    Доступно:

    • Legacy-загрузка (загрузка через MBR-сектор). Отображается в виде «Px-<диск>», загрузка возможна только с жестких дисков и CD/DVD;
    • EFI-загрузка (присутствует файл efi\boot\bootx64.efi), отображается строкой «USB Hard Drive» или «EFI USB Device»;
    • Пользовательский тип – позволяет выбрать альтернативный EFI-загрузчик или настроить Linux-загрузку (если данный параметр включен в «Компонентах»);

  • «Контроль целостности» – добавления нового файла в список проверяемых перед загрузкой ОС. Пункт меню доступен для настройки после первичного сохранения создаваемого профиля загрузки;

  • «Сохранить профиль» – сохранение настроек профиля загрузки.

Для управления существующими профилями необходимо перейти в пункт «Профили загрузки» меню «Конфигуратор».

Настройка профиля загрузки с типом загрузки HTTP Boot#

Для возможности загрузки по HTTP Boot необходимо выполнить следующие действия:

  1. для работы с HTTP Boot необходимо включить драйвера сетевого стека UEFI в разделе меню «Компоненты» → «Сетевой стек»;
  2. в меню «Конфигуратор» создать профиль загрузки:
  3. в качестве типа загрузки выбрать «HTTP Boot»;

  4. выбрать сетевой контролер, c помощью которого будет выполняться загрузка. Символом «*» отмечены устройства, к которым подключён сетевой кабель;

  5. в поле «URI» указать полный адрес загружаемого образа ОС (см. рисунок ниже);

    Примечание

    В случае если порт отличается от стандартных (http – 80, https – 443), необходимо указать порт через двоеточие.

  6. загружаемый образ должен иметь электронную подпись (далее – ЭП) для проверки его целостности и подлинности. Файл ЭП должен храниться на сервере в том же каталоге, что и загружаемый образ, и иметь наименование и расширение <Filename.iso>.sign, где Filename.iso – имя загружаемого файла ОС.

    Сертификат администратора безопасности для проверки ЭП может быть добавлен в локальное хранилище Изделия (см. раздел Сертификаты) или же располагаться на сервере в том же каталоге, что и загружаемый образ и иметь наименование и расширение <Filename.iso>.crt, где Filename.iso – имя загружаемого файла ОС.

    Корневой сертификат удостоверяющего центра должен быть заранее загружен в локальное хранилище сертификатов, после чего появится возможность загрузки локальных сертификатов администратора безопасности (см. раздел Сертификаты).

    Пример построения удостоверяющего центра и инфраструктуры открытых ключей, а также процесс подписи загружаемого образа с генерацией всех необходимых для загрузки элементов приведен в Приложении 4.

    Примечание

    Поддерживаются форматы *.efi, *.iso, *.img для загружаемого образа ОС. Файл иного типа загружаться не будут!

    Подпись образа загружаемого файла ОС генерируется администратором на предприятии самостоятельно в доверенной ОС Astra Linux версии 1.6 и выше.

    Генерация сертификатов, подписей и ключей, включая TLS – являются средствами обеспечения целостности загружаемого образа операционной системы.

  7. по умолчанию разрешено только защищенное https-соединение. В отладочных целях доступно незащищённое соединение http. Для этого необходимо включить параметр «Разрешить протокол HTTP» в меню «Конфигуратор»;

    Внимание!

    Использование http соединения не в отладочных целях ЗАПРЕЩЕНО.

  8. сохранить профиль загрузки;

  9. запустить созданный профиль.

Во время загрузки созданного профиля сначала выполняется последовательное скачивание файлов образа, подписи и сертификата (файл сертификата загружается при необходимости).

Проверка ЭП осуществляется в два этапа:

  • с использованием локальных сертификатов, загруженных в «Сертификаты для HTTP Boot». Проверка будет выполняться, пока ЭП не будет успешно проверена;
  • если ни один локальный сертификат не подошел, будет загружен и использован сертификат с удаленного сервера (CRT-файл).

После успешного выполнения всех процедур будет выполнена загрузка ОС.

При возникновении ошибок необходимо проверить, что сетевой кабель подключён в разъем СВТ, указанный при создании профиля загрузки, включен параметр «Сетевой стек» в меню «Компоненты», убедиться в наличии и правильности всех элементов для загрузки: подписанный файл-образ ОС, файл ЭП, файл сертификата для проверки ЭП.

Удаление профилей загрузки#

Для удаления профиля загрузки необходимо перейти на профиль загрузки и нажать кнопку Del.

Настройка порядка профилей загрузки в меню «Конфигуратор» осуществляется кнопками + и -.

Импорт профилей загрузки#

Для импорта ранее сохраненных настроек профилей из внешнего файла необходимо перейти в пункт «Загрузить с USB» выполнить следующие действия:

  1. подключить USB–накопитель с файлом конфигурации;
  2. выбрать пункт меню «Конфигуратор» → «Загрузить с USB»;
  3. выбрать требуемый файл из каталога файлов устройства и нажать Enter.

В случае успешной загрузки конфигурации будет выдано соответствующее сообщение: «Конфигурация успешно сохранена!»

В случае выбора неподходящего файла будет выдано сообщение: «Ошибка! Неизвестный формат файла!»

Экспорт профилей загрузки#

Для того чтобы экспортировать конфигурацию во внешний файл на USB-накопитель, необходимо перейти в пункт меню «Конфигуратор» и выполнить следующие действия:

  1. подключить USB-флеш-накопитель (с файловой системой формата FAT32);
  2. выбрать пункт меню «Конфигуратор» → «Сохранить на USB».

В случае успешной выгрузки файла конфигурации будет выдано соответствующее сообщение: «Сохранение профилей завершено успешно!»

Файл с конфигурацией будет сохранен в корневом каталоге устройства с именем, соответствующим шаблону BootProfiles[YY-MM-DD].json, где YYMMDD – текущая дата

Настройка контроля целостности#

Настройка контроля целостности профиля загрузки производится в отдельном меню «Конфигуратор» → <Профиль загрузки> → «Редактирование профиля» → «Контроль целостности».

Для добавления нового файла в список проверяемых перед загрузкой ОС файлов необходимо выполнить следующие действия:

  1. выбрать пункт меню «Добавить файл в список»;
  2. выбрать устройство, с которого необходимо добавить файл;
  3. выбрать требуемый файл и нажать Enter – файл появится в списке добавляемых файлов, справа будет выведена его контрольная сумма (см. рисунок выше);
  4. для удаления файла из этого списка необходимо выделить его и нажать Enter (подтверждение не запрашивается); чтобы удалить все файлы из предварительного списка, необходимо выбрать пункт меню «Очистить список файлов»;
  5. для добавления в список ещё одного файла необходимо вернуться к первому пункту;
  6. после окончания процедуры добавления файлов следует выбрать пункт меню «Сохранить список файлов» и нажать Enter. На экране появится сообщение: «Список файлов сохранён!»

Для пересчета контрольной суммы необходимо выбрать пункт «Обновить контрольную сумму» и нажать клавишу Enter, после чего будет произведено автоматическое обновление контрольной суммы.