セキュアブート
セキュアブートが有効なコンピューターでリアルタイムファイルシステム保護とアクセス保護を使用するには、ESET Endpoint Antivirus for Linux カーネルモジュールを秘密鍵で署名する必要があります。また、対応する公開鍵をUEFIにインポートする必要があります。ESET Endpoint Antivirus for Linuxにはビルトインの署名スクリプトが付属しています。このスクリプトは対話モードまたは非対話モードで動作します。
mokutilユーティリティを使用して、コンピューターでセキュアブートが有効であることを確認します。特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
mokutil --sb-state |
対話モード
カーネルモジュールに署名する公開鍵と秘密鍵がない場合、対話モードは新しい鍵を生成し、カーネルモジュールに署名できます。また、生成された鍵をUEFIで登録できます。
1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
/opt/eset/eea/lib/install_scripts/sign_modules.sh |
2.スクリプトでキーを入力するように指示されたら、Nを入力してから、Enterキーを押します。
3.新しいキーを生成するように指示されたら、Yと入力してから、Enterキーを押します。スクリプトは、生成された秘密鍵でカーネルモジュールに署名します。
4.生成された公開鍵を自動的にUEFIに登録するには、Yと入力してから、Enterを押します。登録を手動で完了するには、Nと入力し、Enterキーを押して、画面の手順に従います。
5.メッセージが表示されたら、選択したパスワードを入力します。UEFIでの登録が完了(新しいコンピューターの所有者鍵[MOK]の承認)したときに、パスワードが必要になります。
6.生成されたキーを後で使用するためにハードドライブに保存するには、Yと入力し、ディレクトリへのパスを入力して、Enterキーを押します。
7.UEFIを再起動してアクセスするには、メッセージが表示されたらYと入力し、Enterキーを押します。
8.UEFIにアクセスするように指示されたら、10秒以内に任意のキーを押します。
9.MOKの登録を選択し、Enterキーを押します。
10.続行を選択し、Enterキーを押します。
11.はいを選択し、Enterキーを押します。
12.登録を完了し、コンピューターを再起動するには、手順5のパスワードを入力し、Enterキーを押します。
非対話モード:
ターゲットコンピューターで公開鍵と秘密鍵を使用できる場合は、このモードを使用します。
Syntax: /opt/eset/eea/lib/install_scripts/sign_modules.sh[オプション]
オプション - 短縮型 |
オプション - 標準型 |
説明 |
---|---|---|
-d |
--public-key |
署名で使用するDER形式の公開鍵へのパスを設定 |
-p |
--private-key |
署名で使用する秘密鍵へのパスを設定 |
-k |
--kernel |
モジュールが署名される必要があるカーネルの名前を設定します。指定されていない場合、既定で現在のカーネルが選択されます |
-a |
--kernel-all |
ヘッダーを含むすべての既存のカーネルでカーネルモジュールを署名(およびビルド)する |
-h |
--help |
ヘルプを表示します |
1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
/opt/eset/eea/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
<path_to_private_key>と<path_to_public_key>をそれぞれ秘密鍵と公開鍵へのパスで置き換えます。
2. 指定された公開鍵がUEFIに登録されていない場合は、特権ユーザーで次のコマンドを実行します。
mokutil --import <path_to_public_key> |
<path_to_public_key>は指定された公開鍵を表します。
3.コンピューターを再起動し、UEFIにアクセスし、MOKの登録 > 続行 > はいを選択します。
複数のデバイスの管理
同じLinuxカーネルを使用し、同じ公開鍵がUEFIに登録されている複数のコンピューターを管理するとします。この場合、秘密鍵を含むコンピューターの1つでESET Endpoint Antivirus for Linuxカーネルモジュールを署名し、署名されたカーネルモジュールを他のコンピューターに転送できます。署名が完了したら、次の手順を実行します。
1./lib/modules/<kernel-version>/eset/eea/eset_rtp, eset_wapの署名されたカーネルモジュールをコピーして、ターゲットコンピューターの同じ場所に貼り付けます。
2.ターゲットコンピューターでdepmod <kernel-version> を呼び出します。
3.ターゲットコンピューターでESET Endpoint Antivirus for Linuxを再起動し、モジュールテーブルを更新します。次のコマンドを特権ユーザーで実行します。
systemctl restart eea |
すべての場合において、カーネルバージョン<kernel-version>を対応するカーネルバージョンで置換します。