Démarrage sécurisé
Pour utiliser la protection en temps réel du système de fichiers sur un ordinateur sur lequel le démarrage sécurisé est activé, le module de noyau ESET Server Security for Linux (ESSL) doit être signé avec une clé privée. La clé publique correspondante doit être importée dans UEFI. ESSL version 8 contient un script de signature intégré qui fonctionne en mode interactif ou non interactif..
Utilisez l’utilitaire mokutil pour vérifier que le démarrage sécurisé est activé sur la machine. Exécutez la commande suivante à dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
mokutil --sb-state |
Mode interactif
Si vous ne disposez pas d'une clé publique et d'une clé privée pour signer le module de noyau, le mode interactif peut générer de nouvelles clés et signer le module de noyau. Il permet également d’inscrire les clés générées dans UEFI.
1.Exécutez la commande suivante dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Lorsque le script vous demande les clés, saisissez n, puis appuyez sur Entrée.
3.Lorsque vous êtes invité à générer de nouvelles clés, saisissez y, puis appuyez sur Entrée. Le script signe le module de noyau avec la clé privée générée.
4.Pour inscrire la clé publique générée dans UEFI de manière semi-automatique, saisissez y, puis appuyez sur Entrée. Pour effectuer l’inscription manuellement, saisissez n, appuyez sur Entrée, puis suivez les instructions à l’écran.
5.Lorsque vous y êtes invité, saisissez le mot de passe de votre choix. Mémorisez-le, car vous en aurez besoin pour terminer l’inscription (approbation de la nouvelle clé propriétaire de la machine [MOK]) dans UEFI.
6.Pour enregistrer les clés générées sur votre disque dur en vue d’une utilisation ultérieure, saisissez y, entrez le chemin d’accès à un répertoire, puis appuyez sur Entrée.
7.Pour redémarrer l'ordinateur et accéder à UEFI, saisissez y lorsque vous y êtes invité, puis appuyez sur Entrée.
8.Appuyez sur une touche dans les 10 secondes lorsque vous êtes invité à accéder à UEFI.
9.Sélectionnez Enroll MOK (Inscrire MOK), puis appuyez sur Entrée.
10.Sélectionnez Continue (Continuer), puis appuyez sur Entrée.
11.Sélectionnez Yes (Oui), puis appuyez sur Entrée.
12.Pour terminer l’inscription et redémarrer l’ordinateur, saisissez le mot de passe défini à l’étape 5, puis appuyez sur Entrée.
Mode non interactif
Utilisez ce mode si une clé privée et une clé publique sont disponibles sur l’ordinateur cible.
Syntaxe : /opt/eset/efs/lib/install_scripts/sign_modules.sh [OPTIONS]
Options - forme courte |
Options - forme longue |
Description |
---|---|---|
-d |
--public-key |
Définir le chemin d’accès à une clé publique au format DER à utiliser pour la signature |
-p |
--private-key |
Définir le chemin d’accès à la clé privée à utiliser pour la signature |
-k |
--kernel |
Définir le nom du noyau dont les modules doivent être signés. S’il n’est pas spécifié, le noyau actuel est sélectionné par défaut. |
-a |
--kernel-all |
Signer (et créer) les modules de noyau sur tous les noyaux existants contenant des en-têtes |
-h |
--help |
Afficher l'aide |
1.Exécutez la commande suivante dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Remplacez <path_to_private_key> et <path_to_public_key> par le chemin d'accès à une clé privée et une clé publique, respectivement.
2. Si la clé publique fournie n’est pas encore inscrite dans UEFI, exécutez la commande suivante en tant qu’utilisateur avec privilèges :
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Redémarrez l’ordinateur, accédez à UEFI, sélectionnez Enroll MOK > Continue > Yes.
Gestion de plusieurs appareils
Supposons que vous gérez plusieurs ordinateurs qui utilisent le même noyau Linux et dont la même clé publique est inscrite dans UEFI. Dans ce cas, vous pouvez signer le module de noyau ESSL sur l’une de ces machines contenant la clé privée et transférer ensuite le module de noyau signé vers les autres ordinateurs. Une fois la signature effectuée :
1.Copiez/collez le module de noyau signé depuis /lib/modules/<kernel-version>/eset/eea/eset_rtp dans le même chemin sur les ordinateurs cibles.
2.Appelez depmod <kernel-version> sur les ordinateurs cibles.
3.Redémarrez ESET Server Security for Linux sur l’ordinateur cible pour mettre à jour la table des modules. Exécutez la commande suivante en tant qu’utilisateur avec privilèges :
systemctl restart efs |
Dans tous les cas, remplacez <kernel-version> par la version du noyau correspondante.