Secure Boot
Um den Echtzeit-Dateischutz auf einem Computer mit aktiviertem Boot nutzen zu können, muss das ESET Endpoint Antivirus for Linux-Kernelmodul (EEAU) mit einem privaten Schlüssel signiert werden. Der zugehörige öffentliche Schlüssel muss in UEFI importiert werden. EEAU Version 8.1 enthält ein integriertes Signierskript, das im interaktiven oder im nicht-interaktiven Modus ausgeführt werden kann.
Mit dem Hilfsprogramm mokutil können Sie überprüfen, ob Secure Boot auf dem Computer aktiviert ist. Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:
mokutil --sb-state |
Interaktiver Modus
Wenn Sie keinen öffentlichen und privaten Schlüssel zum Signieren des Kernelmoduls haben, können Sie mit de interaktiven Modus neue Schlüssel generieren, das Kernelmodul signieren und die generierten Schlüssel in UEFI registrieren.
1.Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:
/opt/eset/eea/lib/install_scripts/sign_modules.sh |
2.Wenn das Skript Sie nach Ihren Schlüsseln fragt, drücken Sie die Taste n und anschließend die Eingabetaste.
3.Wenn Sie gefragt werden, ob Sie neue Schlüssel generieren möchten, drücken Sie die Taste y und dann die Eingabetaste. Das Skript signiert das Kernelmodul mit dem generierten privaten Schlüssel.
4.Um den generierten öffentlichen Schlüssel halbautomatisch in UEFI zu registrieren, drücken Sie die Taste y und dann die Eingabetaste. Um die Registrierung manuell zu abschließen, drücken Sie die Taste n und dann die Eingabetaste und folgen Sie den Anweisungen auf dem Bildschirm.
5.Geben Sie ein Passwort Ihrer Wahl ein, wenn Sie dazu aufgefordert werden. Merken Sie sich das Passwort unbedingt, denn Sie brauchen es, um den neuen Computereigentümerschlüssel (Machine Owner Key, MOK) in UEFI zu registrieren.
6.Drücken Sie die Taste y, um die generierten Schlüssel zur späteren Verwendung auf der Festplatte zu speichern. Geben Sie den Pfad zu einem Verzeichnis ein und drücken Sie die Eingabetaste.
7.Um den Computer neu zu starten und UEFI zu öffnen, drücken Sie die Taste y, wenn Sie dazu aufgefordert werden, und anschließend die Eingabetaste.
8.Drücken Sie nach der Aufforderung innerhalb von 10 Sekunden eine beliebige Taste, um UEFI zu öffnen.
9.Wählen Sie MOK registrieren aus und drücken Sie die Eingabetaste.
10.Wählen Sie Fortfahren aus und drücken Sie die Eingabetaste.
11.Wählen Sie Ja aus und drücken Sie die Eingabetaste.
12.Geben Sie das Passwort aus Schritt 5 ein und drücken Sie die Eingabetaste, um die Registrierung abzuschließen und den Computer neu zu starten.
Nicht-interaktiver Modus
Verwenden Sie diesen Modus, wenn Sie auf dem Zielcomputer bereits einen privaten und einen öffentlichen Schlüssel haben.
Syntax: /opt/eset/eea/lib/install_scripts/sign_modules.sh [OPTIONS]
Optionen - Kurzform |
Optionen - Langform |
Beschreibung |
|---|---|---|
-d |
--public-key |
Der Pfad zu einem öffentlichen Schlüssel im DER-Format, den Sie zum Signieren verwenden möchten |
-p |
--private-key |
Der Pfad zum privaten Schlüssel, den Sie zum Signieren verwenden möchten |
-k |
--kernel |
Der Name des Kernels, dessen Module Sie signieren möchten. Falls nicht angegeben, wird standardmäßig der aktuelle Kernel ausgewählt. |
-a |
--kernel-all |
Kernelmodule in allen vorhandenen Kernels signieren (und erstellen), die Header enthalten |
-h |
--help |
Hilfe anzeigen |
1.Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:
/opt/eset/eea/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Ersetzen Sie <path_to_private_key>> und <path_to_public_key> durch den Pfad zum privaten bzw. zum öffentlichen Schlüssel.
2. Falls der angegebene öffentliche Schlüssel noch nicht in UEFI registriert ist, führen Sie den folgenden Befehl als privilegierter Benutzer aus:
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Starten Sie den Computer neu, öffnen Sie UEFI und wählen Sie MOK registrieren > Weiter > Ja aus.
Mehrere Geräte verwalten
Angenommen, Sie verwalten mehrere Computer, die denselben Linux-Kernel verwenden und denselben öffentlichen Schlüssel in UEFI registriert haben. In diesem Fall können Sie das EEAU-Kernelmodul auf einem der Computer mit dem privaten Schlüssel signieren und das signierte Kernelmodul anschließend auf die anderen Computer übertragen. Gehen Sie nach dem Signieren wie folgt vor:
1.Kopieren Sie das signierte Kernelmodul unter /lib/modules/<kernel-version>/eset/eea/eset_rtp und fügen Sie es unter demselben Pfad auf den Zielcomputern ein.
2.Rufen Sie depmod <kernel-version> auf den Zielcomputern auf.
3.Starten Sie ESET Endpoint Antivirus for Linux auf dem Zielcomputer neu, um die Modultabelle zu aktualisieren. Führen Sie den folgenden Befehl als privilegierter Benutzer aus:
systemctl restart eea |
Ersetzen Sie die <kernel-version> in allen Fällen durch die entsprechende Kernelversion.