Інтерактивна довідка ESET

Виберіть тему

Безпечне завантаження

Щоб мати змогу використовувати захист файлової системи в режимі реального часу на комп’ютері з увімкненим модулем Безпечне завантаження, модуль ядра ESET Server Security for Linux (ESSL) має бути підписаний закритим ключем. Відповідний відкритий ключ потрібно імпортувати в систему UEFI. ESSL містить вбудований сценарій підписування, який працює в інтерактивному або неінтерактивному режимі.

Щоб перевірити, чи ввімкнуто на комп’ютері модуль "Безпечне завантаження", скористайтеся утилітою mokutil. У вікні термінала від імені привілейованого користувача виконайте таку команду:

mokutil --sb-state

Інтерактивний режим

Якщо у вас немає відкритого й закритого ключів для підписання модуля ядра, в інтерактивному режимі можна автоматично створити нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.

3.Коли з’явиться запит на створення нових ключів, уведіть Y і натисніть клавішу ENTER. Сценарій підпише модуль ядра згенерованим закритим ключем.

4.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.

5.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.

6.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.

7.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.

8.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.

9.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.

10.Виберіть Продовжити й натисніть клавішу ENTER.

11.Виберіть Так і натисніть клавішу ENTER.

12.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.

Неінтерактивний режим

Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.

Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [ПАРАМЕТРИ]

Параметри: коротка форма

Параметри: довга форма

Опис

-d

--public-key

Задайте шлях до відкритого ключа (у форматі DER), який буде використовуватися для підписування

-p

--private-key

Задайте шлях до закритого ключа, який буде використовуватися для підписування

-k

--kernel

Задайте ім’я ядра, для якого необхідно підписати модулі. Якщо ім’я не вказано, за замовчуванням вибирається поточне ядро

-a

--kernel-all

Підпишіть (і створіть збірку) модулів ядра в усіх наявних ядрах, які містять заголовки

-h

--help

Показати довідку

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.

2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:

mokutil --import <path_to_public_key>

<path_to_public_key> — це наданий відкритий ключ.

3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).

Керування кількома пристроями

Припустимо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:

1.Скопіюйте та вставте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp в те саме розташування на цільових комп’ютерах.

2.Викличте depmod <kernel-version> на цільових комп’ютерах.

3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:

systemctl restart efs

У всіх випадках замініть <kernel-version> на відповідну версію ядра.