Émulateur Qemu - Kvm - Amorçage UEFI avec Secure Boot activé

Mise à jour : Debian 10.5 Buster

Ce document décrit comment lancer qemu avec l'amorçage UEFI lorsque Secure Boot est activé

Il fait suite aux documents

• Émulateur Qemu / Kvm - Installation et utilisation
• Émulateur Qemu / Kvm - Amorçage UEFI

Référence

• https://wiki.debian.org/Secure Boot/VirtualMachine
  

Sommaire

1 - Introduction

• Par défaut, qemu émule un amorçage de type BIOS/MBR. Pour émuler un amorçage UEFI avec Secure Boot activé, on fait appel à OVMF, portage du projet tianocore (implémentation open source de l'UEFI) pour les machines virtuelles
  

• ovmf est proposée en plusieurs versions. Dans ce document on utilise une version qui se présente sous la forme de deux fichiers : un fichier pour le code efi et un fichier pour les variables efi. Les clés Microsoft utilisées par SHIM (dispositif d'amorçage linux compatible avec Secure Boot) sont intégrées, ce qui permet un amorçage facile des distributions linux qui l'ont intégré, ce qui est le cas de Debian depuis Debian 10 Buster.
  

• Les fichiers ovmf sont à intégrer dans la commande qemu finale comme des "mémoires flash virtuelle"
  

2 - Installation

• La version debian "Buster - stable"de Debian ne semble pas fonctionner, les versions backports et testing fonctionnent partiellement
  

$ aptitude versions ovmf
p   0~20181115.85588389-3+deb10u3                 stable                    500 
i   2020.05-3~bpo+1                               buster-backports          100 
p   2020.11-2                                     testing                   10                          10 

• Dans ce qui suit, on utilise la version du projet fedora :
• Rechercher la dernière version stable du paquet edk2-ovmf pour X86_64, par exemple sur le site pkgs.org
  

https://pkgs.org/search/?q=edk2-ovmf

• Créer un répertoire pour le téléchargement et y télécharger le paquet (il est au format rpm)

$ mkdir ovmf_fedora31 && cd ovmf_fedora31

$ wget https://download-ib01.fedoraproject.org/pub/fedora/linux/releases/31/Everything/x86_64/os/Packages/e/edk2-ovmf-20190501stable-4.fc31.noarch.rpm

• Installer le paquet rpm2cpio et extraire les fichiers du paquet edk2-ovmf
  

$ sudo aptitude install rpm2cpio

$ rpm2cpio edk2-ovmf-*.rpm | cpio -idmv
./usr/share/OVMF
./usr/share/OVMF/OVMF_CODE.fd
./usr/share/OVMF/OVMF_CODE.secboot.fd
./usr/share/OVMF/OVMF_VARS.fd
./usr/share/OVMF/OVMF_VARS.secboot.fd
./usr/share/OVMF/UefiShell.iso
./usr/share/doc/edk2-ovmf
./usr/share/doc/edk2-ovmf/README
./usr/share/doc/edk2-ovmf/ovmf-whitepaper-c770f8c.txt
./usr/share/edk2
./usr/share/edk2/ovmf
./usr/share/edk2/ovmf/EnrollDefaultKeys.efi
./usr/share/edk2/ovmf/OVMF_CODE.fd
./usr/share/edk2/ovmf/OVMF_CODE.secboot.fd
./usr/share/edk2/ovmf/OVMF_VARS.fd
./usr/share/edk2/ovmf/OVMF_VARS.secboot.fd
./usr/share/edk2/ovmf/Shell.efi
./usr/share/edk2/ovmf/UefiShell.iso
......

• Les fichiers utilisés pour un amorçage avec Secure Boot activé sont : OVMF_CODE.secboot.fd et OVMF_VARS.secboot.fd, les sauvegarder par exemple en /opt/suze/ovmf
  

$ sudo mkdir -p /opt/suze/ovmf
$ sudo cp usr/share/edk2/ovmf/ /opt/suze/ovmf

3 - Utilisation

3.1 - Principe

• Recopier localement les fichier code et variable ovmf :
  

$ mkdir debian-uefi_secure && cd debian-uefi_secure

$ cp /opt/suze/ovmf/OVMF_CODE.secboot.fd ./
$ cp /opt/suze/ovmf/OVMF_VARS.secboot.fd ./

• A la commande standard (Bios/MBR) de la commande qemu, rajouter les options suivantes, en adaptant les chemins vers les fichiers OVMF
  

-machine pc-q35-2.5 \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.secboot.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.secboot.fd

• Remarques :
  
• Ne pas oublier l'option -machine pc-q35-2.5 nécessaire en l'état des choses

• Par défaut, plusieurs entrées réseaux sont inclues dans le menu d'amorçage uefi. Pour éviter qu'elles ne soient explorées et qu'elles augmentent les temps d'attente
  
• soit modifier l'ordre d'exploration (voir plus loin)
• soit supprimer complètement l'accès réseau avec l'option
  

-net none

3.2 - Test de l'amorçage UEFI en mode Secure Boot

• On suppose que les fichiers ovmf sont disponibles dans le répertoire courant :
  

$ cp /opt/suze/ovmf/OVMF_CODE.secboot.fd ./
$ cp /opt/suze/ovmf/OVMF_VARS.secboot.fd ./

• Lancer un système minimum avec
  

$ qemu-system-x86_64 -machine pc-q35-2.5 \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.secboot.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.secboot.fd \
-net none

• L'amorçage échoue et invite à presser une touche pour afficher le menu de Boot UEFI

• Pour voir s'afficher la disponibilité de Secure Boot : presser une touche, le menu de Boot UEFI s'affiche, sélectionner Device Manager >> Secure Boot Configuration
  
• >> Current Secure Boot State, l'état doit-être enabled
• >> Secure Boot Mode est standard
  

3.3 - Amorçage de l'installateur Debian en mode secure boot

• A partir de Debian 10, les iso debian d'installation ou live supportent le Secure BootTest. Télécharger un iso debian

• On suppose que les fichiers ovmf sont disponibles dans le répertoire courant :
  

$ cp /opt/suze/ovmf/OVMF_CODE.secboot.fd ./
$ cp /opt/suze/ovmf/OVMF_VARS.secboot.fd ./

• Lancer la commande, la première fois avec l'option menu=on
  

$ qemu-system-x86_64 -machine pc-q35-2.5 -m 2048 -enable-kvm -smp 4 -cpu host \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.secboot.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.secboot.fd \
-drive format=raw,media=cdrom,file=debian10.iso \
-boot menu=on

• Interrompre le boot en tapotant sur la touche ESC afin de faire afficher le menu d'amorçage UEFI et modifier l'ordre d'amorçage (par défaut, l'amorçage réseau est prioritaire sur l'amorçage cdrom ce qui rend l'amorçage très long). Le menu permettant de sélectionner l'ordre d'amorçage est modifiable en >> Boot Maintenace Manager >> Boot Options >> Change Boot Order
• Puis relancer la commande, l'option menu=on n'est plus nécessaire
• Le menu de l'installateur Debian doit s'afficher directement

3.4 - Installation d'un système Debian en mode secure boot

• Créer le disque virtuel sur lequel aura lieu l'installation : debian.qcow2

$ qemu-img create -f qcow2 debian.qcow2 20G

• Lancer l'installation
  

$ qemu-system-x86_64 -m 2048 -smp 4 -enable-kvm -cpu host \
-machine pc-q35-2.5 -boot order=c,once=d \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.secboot.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.secboot.fd \
-drive format=raw,media=cdrom,file=debian10.iso \
-drive media=disk,format=qcow2,file=debian.qcow2

• Le redémarrage s'effectue sur le disque debian.qcow2 en mode secure boot

• Par la suite, pour relancer le système Debian
  

$ qemu-system-x86_64 -m 2048 -smp 4 -enable-kvm -cpu host \
-machine pc-q35-2.5 -boot order=c \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.secboot.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.secboot.fd \
-drive format=raw,media=cdrom,file=debian10.iso

Annexe - ovmf debian

• Lancement avec ovmf DEBIAN : voir https://wiki.archlinux.org/index.php/QEMU#VM_does_not_boot_when_using_a_Secure_Boot_enabled_OVMF)
  

$ cp /usr/share/OVMF/OVMF_CODE.ms.fd ./
$ cp /usr/share/OVMF/OVMF_VARS.ms.fd ./
      
$ sudo qemu-system-x86_64 -enable-kvm -cpu host -machine pc-q35-2.5 -m 2048 -boot menu=on \
-drive if=pflash,format=raw,readonly,file=./OVMF_CODE.ms.fd \
-drive if=pflash,format=raw,file=./OVMF_VARS.ms.fd \
-drive format=raw,media=disk,file=vdisk.raw \
-global ICH9-LPC.disable_s3=1