ESET-Onlinehilfe

Suche Deutsch
Wählen Sie ein Thema aus

Secure Boot

Um den Echtzeit-Dateischutz und Web-Schutz auf einem Computer mit aktiviertem Boot nutzen zu können, muss das ESET Server Security for Linux-Kernelmodul (ESSL) mit einem privaten Schlüssel signiert werden. Der zugehörige öffentliche Schlüssel muss in UEFI importiert werden. ESSL enthält ein integriertes Signierskript, das im interaktiven oder im nicht-interaktiven Modus ausgeführt werden kann.

Mit dem Hilfsprogramm mokutil können Sie überprüfen, ob Secure Boot auf dem Computer aktiviert ist. Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:

mokutil --sb-state

Interaktiver Modus

Wenn Sie keinen öffentlichen und privaten Schlüssel zum Signieren der Kernelmodule haben, können Sie mit dem interaktiven Modus neue Schlüssel generieren und das Kernelmodul signieren. Außerdem Sie die generierten Schlüssel in UEFI registrieren.

1.Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.Wenn das Skript Sie nach Ihren Schlüsseln fragt, drücken Sie die Taste N und anschließend die Eingabetaste.

3.Wenn Sie gefragt werden, ob Sie neue Schlüssel generieren möchten, drücken Sie die Taste Y und dann die Eingabetaste. Das Skript signiert die Kernelmodule mit dem generierten privaten Schlüssel.

4.Um den generierten öffentlichen Schlüssel halbautomatisch in UEFI zu registrieren, drücken Sie die Taste Y und dann die Eingabetaste. Um die Registrierung manuell zu abschließen, drücken Sie die Taste N und dann die Eingabetaste und folgen Sie den Anweisungen auf dem Bildschirm.

5.Geben Sie ein Passwort Ihrer Wahl ein, wenn Sie dazu aufgefordert werden. Merken Sie sich das Passwort unbedingt, denn Sie brauchen es, um den neuen Computereigentümerschlüssel (Machine Owner Key, MOK) in UEFI zu registrieren.

6.Drücken Sie die Taste Y, um die generierten Schlüssel zur späteren Verwendung auf der Festplatte zu speichern. Geben Sie den Pfad zu einem Verzeichnis ein und drücken Sie die Eingabetaste.

7.Um den Computer neu zu starten und UEFI zu öffnen, drücken Sie die Taste Y, wenn Sie dazu aufgefordert werden, und anschließend die Eingabetaste.

8.Drücken Sie nach der Aufforderung innerhalb von 10 Sekunden eine beliebige Taste, um UEFI zu öffnen.

9.Wählen Sie MOK registrieren aus und drücken Sie die Eingabetaste.

10.Wählen Sie Fortfahren aus und drücken Sie die Eingabetaste.

11.Wählen Sie Ja aus und drücken Sie die Eingabetaste.

12.Geben Sie das Passwort aus Schritt 5 ein und drücken Sie die Eingabetaste, um die Registrierung abzuschließen und den Computer neu zu starten.

Nicht-interaktiver Modus

Verwenden Sie diesen Modus, wenn Sie auf dem Zielcomputer bereits einen privaten und einen öffentlichen Schlüssel haben.

Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPTIONEN]

Optionen - Kurzform

Optionen - Langform

Beschreibung

-d

--public-key

Der Pfad zu einem öffentlichen Schlüssel im DER-Format, den Sie zum Signieren verwenden möchten

-p

--private-key

Der Pfad zum privaten Schlüssel, den Sie zum Signieren verwenden möchten

-k

--kernel

Der Name des Kernels, dessen Module Sie signieren möchten. Falls nicht angegeben, wird standardmäßig der aktuelle Kernel ausgewählt.

-a

--kernel-all

Kernelmodule in allen vorhandenen Kernels signieren (und erstellen), die Header enthalten

-h

--help

Hilfe anzeigen

1.Führen Sie den folgenden Befehl als privilegierter Benutzer in einem Terminalfenster aus:

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Ersetzen Sie <path_to_private_key> und <path_to_public_key> durch den Pfad zum privaten bzw. zum öffentlichen Schlüssel.

2. Falls der angegebene öffentliche Schlüssel noch nicht in UEFI registriert ist, führen Sie den folgenden Befehl als privilegierter Benutzer aus:

mokutil --import <path_to_public_key>

<path_to_public_key> stellt den bereitgestellten öffentlichen Schlüssel dar.

3.Starten Sie den Computer neu, öffnen Sie UEFI und wählen Sie MOK registrieren > Weiter > Ja aus.

Mehrere Geräte verwalten

Angenommen, Sie verwalten mehrere Computer, die denselben Linux-Kernel verwenden und denselben öffentlichen Schlüssel in UEFI registriert haben. In diesem Fall können Sie das ESSL-Kernelmodul auf einem der Computer mit dem privaten Schlüssel signieren und das signierte Kernelmodul anschließend auf die anderen Computer übertragen. Gehen Sie nach dem Signieren wie folgt vor:

1.Kopieren Sie das signierte Kernelmodul unter /lib/modules/<kernel-version>/eset/efs/eset_rtp und eset_wap und fügen Sie es unter demselben Pfad auf den Zielcomputern ein.

2.Rufen Sie depmod <kernel-version> auf den Zielcomputern auf.

3.Starten Sie ESET Server Security for Linux auf dem Zielcomputer neu, um die Modultabelle zu aktualisieren. Führen Sie den folgenden Befehl als privilegierter Benutzer aus:

systemctl restart efs

Ersetzen Sie die <kernel-version> in allen Fällen durch die entsprechende Kernelversion.