Безпечне завантаження

Щоб мати змогу використовувати захист файлової системи в режимі реального часу на комп’ютері з увімкненим модулем Безпечне завантаження, модуль ядра ESET Server Security for Linux (ESSL) має бути підписаний закритим ключем. Відповідний відкритий ключ потрібно імпортувати в систему UEFI. ESSL містить вбудований сценарій підписування, який працює в інтерактивному або неінтерактивному режимі.

Щоб перевірити, чи ввімкнуто на комп’ютері модуль "Безпечне завантаження", скористайтеся утилітою mokutil. У вікні термінала від імені привілейованого користувача виконайте таку команду:

Інтерактивний режим

Якщо у вас немає відкритого й закритого ключів для підписання модуля ядра, в інтерактивному режимі можна автоматично створити нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.

3.Коли з’явиться запит на створення нових ключів, уведіть Y і натисніть клавішу ENTER. Сценарій підпише модуль ядра згенерованим закритим ключем.

4.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.

5.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.

6.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.

7.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.

8.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.

9.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.

10.Виберіть Продовжити й натисніть клавішу ENTER.

11.Виберіть Так і натисніть клавішу ENTER.

12.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.

Неінтерактивний режим

Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.

Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [ПАРАМЕТРИ]

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.

2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:

<path_to_public_key> — це наданий відкритий ключ.

3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).

Керування кількома пристроями

Припустимо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:

1.Скопіюйте та вставте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp в те саме розташування на цільових комп’ютерах.

2.Викличте depmod <kernel-version> на цільових комп’ютерах.

3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:

У всіх випадках замініть <kernel-version> на відповідну версію ядра.