Arranque seguro

Para usar la protección del sistema de archivos en tiempo real en un equipo con arranque seguro activado, el módulo del kernel ESET Server Security for Linux (EFS) debe estar firmado con una clave privada. La clave pública correspondiente debe importarse en la UEFI. La versión 8 de EFS incluye un script de firma integrado que funciona en modo interactivo o no interactivo.

Use la utilidad mokutil para verificar que el arranque seguro esté activado en el equipo. Ejecute el siguiente comando desde una ventana de terminal con un usuario con privilegios:

mokutil --sb-state

Modo interactivo

Si no dispone de una clave pública y privada para firmar el módulo del kernel, el Modo interactivo puede generar nuevas claves y firmar el módulo del kernel. También ayuda a inscribir las claves generadas en la UEFI.

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.Cuando el script le solicite claves, escriba n y, a continuación, pulse Intro.

3.Cuando se le pida que genere claves nuevas, escriba y y, a continuación, pulse Intro. El script firma el módulo del kernel con la clave privada generada.

4.Para inscribir la clave pública generada en la UEFI de manera semi automática, escriba y y, a continuación, pulse Intro. Para completar la inscripción manualmente, escriba n, pulse Intro y siga las instrucciones que aparecen en la pantalla.

5.Cuando se le indique, introduzca una contraseña de su elección. Recuerde la contraseña; la necesitará al completar la inscripción (aprobación de la nueva clave de propietario del equipo [MOK]) en la UEFI.

6.Para guardar las claves generadas en el disco duro para usarlas más adelante, escriba y, introduzca la ruta de acceso a un directorio y pulse Intro.

7.Para reiniciar y acceder a la UEFI, escriba y cuando se le indique y pulse Intro.

8.Pulse cualquier tecla en un plazo de 10 segundos cuando se le pida que acceda a la UEFI.

9.Seleccione Inscribir MOK y pulse Intro.

10.Seleccione Continuar, pulse Intro.

11.Seleccione y pulse Intro.

12.Para completar la inscripción y reiniciar el equipo, escriba la contraseña del paso 5 y pulse Intro.

Modo no interactivo

Use este modo si tiene una clave privada y pública disponible en el equipo de destino.

Sintaxis: /opt/eset/efs/lib/install_scripts/sign_modules.sh [OPTIONS]

Opciones: forma abreviada

Opciones: forma larga

Descripción

-d

--public-key

Establezca la ruta de acceso a una clave pública con formato DER que se usará para la firma

-p

--private-key

Defina la ruta de la clave privada que desea usar para la firma

-k

--kernel

Defina el nombre del kernel cuyos módulos deben estar firmados. Si no se especifica, el kernel actual se selecciona de forma predeterminada

-a

--kernel-all

Firmar (y construir) módulos del kernel en todos los kernels existentes que contengan encabezados

-h

--help

Mostrar ayuda

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Sustituya <path_to_private_key> y <path_to_public_key> por la ruta que lleva a una clave privada y a una clave pública, respectivamente.

2. Si la clave pública proporcionada aún no está inscrita en la UEFI, ejecute el siguiente comando como usuario con privilegios:

mokutil --import <path_to_public_key>

<path_to_public_key> represents the provided public key.

3.Reinicie el equipo, acceda a la UEFI, seleccione Inscribir MOK > Continuar > .

Administración de varios dispositivos

Le permite administrar varios equipos que usan el mismo kernel Linux y tienen la misma clave pública inscrita en la UEFI. En ese caso, puede firmar el módulo del kernel de EFS en una de las máquinas que contienen la clave privada y, a continuación, transferir el módulo del kernel firmado a las otras máquinas. Cuando finalice la firma:

1.Copie y pegue el módulo del kernel firmado desde /lib/modules/<kernel-version>/eset/eea/eset_rtp en la misma ruta de los equipos de destino.

2.Llame depmod <kernel-version> en los equipos de destino.

3.Reinicie ESET Server Security for Linux en el equipo de destino para actualizar la tabla de módulos. Ejecute el siguiente comando como usuario con privilegios:

systemctl restart efs

En todos los casos, sustituya <kernel-version> por la versión del kernel correspondiente.