Bezpieczny rozruch
Aby korzystać z ochrony systemu plików w czasie rzeczywistym i ochrony dostępu do stron internetowych na komputerze z włączonym bezpiecznym rozruchem, moduł jądra produktu ESET Endpoint Antivirus for Linux (EEAU) musi być podpisany przy użyciu klucza prywatnego. Odpowiedni klucz publiczny musi zostać zaimportowany do UEFI. Program EEAU jest wyposażony we wbudowany skrypt podpisywania, który działa w trybie interaktywnym lub nieinteraktywnym.
Użyj narzędzia mokutil, aby sprawdzić, czy na urządzeniu włączony jest bezpieczny rozruch. Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
mokutil --sb-state |
Tryb interaktywny
Jeśli nie posiadasz klucza publicznego lub prywatnego do podpisania modułów jądra, tryb interaktywny może generować nowe klucze i podpisywać moduły jądra. Tryb ten pomaga również w rejestracji wygenerowanych kluczy w UEFI.
1.Uruchom następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/eea/lib/install_scripts/sign_modules.sh |
2.Gdy skrypt wyświetli monit o naciśnięcie klawiszy, wpisz N, a następnie naciśnij klawisz Enter.
3.Po wyświetleniu monitu o wygenerowanie nowych kluczy wpisz Y, a następnie naciśnij klawisz Enter. Skrypt podpisuje moduły jądra za pomocą wygenerowanego klucza prywatnego.
4.Aby zarejestrować wygenerowany klucz publiczny do UEFI w sposób półautomatyczny, wpisz Y, a następnie naciśnij klawisz Enter. Aby ukończyć rejestrację ręcznie, wpisz N, naciśnij klawisz Enter i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
5.Po wyświetleniu monitu wprowadź wybrane hasło. Zapamiętaj je, ponieważ będzie potrzebne do ukończenia rejestracji (zatwierdzenie Machine Owner Key [MOK]) w UEFI.
6.Aby zapisać wygenerowane klucze na dysku twardym w celu ich późniejszego użycia, wpisz Y, wprowadź ścieżkę do katalogu i naciśnij klawisz Enter.
7.Aby ponownie uruchomić komputer i uzyskać dostęp do UEFI, wpisz Y po wyświetleniu monitu, a następnie naciśnij klawisz Enter.
8.Naciśnij dowolny klawisz w ciągu 10 sekund od wyświetlenia monitu o dostęp do UEFI.
9.Wybierz pozycję Zarejestruj MOK i naciśnij klawisz Enter.
10.Naciśnij przycisk Kontynuuj, a następnie naciśnij klawisz Enter.
11.Wybierz pozycję Tak i naciśnij klawisz Enter.
12.Aby ukończyć rejestrację i ponownie uruchomić komputer, wpisz hasło z kroku 5 i naciśnij klawisz Enter.
Tryb nieinteraktywny
Użyj tego trybu, jeśli na komputerze docelowym jest dostępny klucz prywatny i publiczny.
Syntax: /opt/eset/eea/lib/install_scripts/sign_modules.sh[OPCJE]
Opcje — forma skrócona |
Opcje — forma długa |
Opis |
|---|---|---|
-d |
--public-key |
Ustawianie ścieżki do klucza publicznego w formacie DER używanego do podpisywania |
-p |
--private-key |
Ustawianie ścieżki do klucza prywatnego używanego do podpisywania |
-k |
--kernel |
Ustawianie nazwy jądra, którego moduły muszą być podpisane. Jeśli go nie podasz, bieżące jądro zostanie ustawione jako domyślnie |
-a |
--kernel-all |
Podpisywanie (i tworzenie) modułów jądra na wszystkich istniejących jądrach zawierających nagłówki |
-h |
--help |
Pokaż pomoc |
1.Uruchom następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/eea/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Zastąp <path_to_private_key> i <path_to_public_key> ścieżką prowadzącą odpowiednio do klucza prywatnego i klucza publicznego.
2. Jeśli podany klucz publiczny nie jest jeszcze zarejestrowany w UEFI, wykonaj następujące polecenie jako użytkownik uprzywilejowany:
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Uruchom ponownie komputer, uzyskaj dostęp do UEFI, wybierz pozycję Zarejestruj MOK > Kontynuuj > Tak.
Zarządzanie kilkoma urządzeniami
Załóżmy, że zarządzasz kilkoma komputerami, które używają tego samego jądra Linuksa i mają ten sam klucz publiczny zarejestrowany w UEFI. W takim przypadku można podpisać moduły jądra produktu EEAU na jednej z maszyn zawierających klucz prywatny, a następnie przenieść podpisany moduł jądra na inne komputery. Po zakończeniu podpisywania wykonaj poniższe czynności:
1.Kopiuj i wklej podpisany moduły jądra z /lib/modules/<kernel-version>/eset/eea/eset_rtp i eset_wap do tej samej ścieżki na komputerach docelowych.
2.Wywołaj depmod <kernel-version> na komputerach docelowych.
3.Uruchom ponownie produkt ESET Endpoint Antivirus for Linux na komputerze docelowym, aby zaktualizować tabelę modułów. Wykonaj następujące polecenie jako użytkownik uprzywilejowany:
systemctl restart eea |
We wszystkich przypadkach należy zastąpić <kernel-version> odpowiednią wersją jądra.