Arranque seguro
Para utilizar la protección del sistema de archivos en tiempo real y protección de acceso a la web en un equipo con la opción Arranque seguro activada, el módulo del kernel ESET Server Security for Linux (ESSL) debe estar firmado con una clave privada. La clave pública correspondiente debe importarse en la UEFI. La ESSL incluye un script de firma integrado que funciona en modo interactivo o no interactivo.
Use la utilidad mokutil para verificar que el arranque seguro esté activado en el equipo. Ejecute el siguiente comando desde una ventana de terminal con un usuario con privilegios:
mokutil --sb-state |
Modo interactivo
Si no dispone de una clave pública y privada para firmar los módulos del kernel, el Modo interactivo puede generar nuevas claves y firmar los módulos del kernel. También ayuda a inscribir las claves generadas en la UEFI.
1.Ejecute el siguiente comando desde una ventana de terminal con un usuario con privilegios:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Cuando el script le solicite claves, escriba N y, a continuación, pulse Intro.
3.Cuando se le pida que genere claves nuevas, escriba Y y, a continuación, pulse Intro. El script firma los módulos del kernel con la clave privada generada.
4.Para inscribir la clave pública generada en la UEFI de manera semi automática, escriba Y y, a continuación, pulse Intro. Para completar la inscripción manualmente, escriba N, pulse Intro y siga las instrucciones que aparecen en la pantalla.
5.Cuando se le indique, introduzca una contraseña de su elección. Recuerde la contraseña; la necesitará al completar la inscripción (aprobación de la nueva clave de propietario del equipo [MOK]) en la UEFI.
6.Para guardar las claves generadas en el disco duro para usarlas más adelante, escriba Y, introduzca la ruta de acceso a un directorio y pulse Intro.
7.Para reiniciar y acceder a la UEFI, escriba Y cuando se le indique y pulse Intro.
8.Pulse cualquier tecla en un plazo de 10 segundos cuando se le pida que acceda a la UEFI.
9.Seleccione Inscribir MOK y pulse Intro.
10.Seleccione Continuar, pulse Intro.
11.Seleccione Sí y pulse Intro.
12.Para completar la inscripción y reiniciar el equipo, escriba la contraseña del paso 5 y pulse Intro.
Modo no interactivo
Use este modo si tiene una clave privada y pública disponible en el equipo de destino.
Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCIONES]
Opciones: forma abreviada |
Opciones: forma larga |
Descripción |
---|---|---|
-d |
--public-key |
Establezca la ruta de acceso a una clave pública con formato DER que se usará para la firma |
-p |
--private-key |
Defina la ruta de la clave privada que desea usar para la firma |
-k |
--kernel |
Defina el nombre del kernel cuyos módulos deben estar firmados. Si no se especifica, el kernel actual se selecciona de forma predeterminada |
-a |
--kernel-all |
Firmar (y construir) módulos del kernel en todos los kernels existentes que contengan encabezados |
-h |
--help |
Mostrar ayuda |
1.Ejecute el siguiente comando desde una ventana de terminal con un usuario con privilegios:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Sustituya <path_to_private_key> y <path_to_public_key> por la ruta que lleva a una clave privada y a una clave pública, respectivamente.
2. Si la clave pública proporcionada aún no está inscrita en la UEFI, ejecute el siguiente comando como usuario con privilegios:
mokutil --import <path_to_public_key> |
<path_to_public_key> representa la clave pública proporcionada.
3.Reinicie el equipo, acceda a la UEFI, seleccione Inscribir MOK > Continuar > Sí.
Administración de varios dispositivos
Le permite administrar varios equipos que usan el mismo kernel Linux y tienen la misma clave pública inscrita en la UEFI. En ese caso, puede firmar el módulo del kernel de ESSL en una de las máquinas que contienen la clave privada y, a continuación, transferir el módulo del kernel firmado a las otras máquinas. Cuando finalice la firma:
1.Copie y pegue los módulos del kernel firmado desde /lib/modules/<kernel-version>/eset/efs/eset_rtp y eset_wap en la misma ruta de los equipos de destino.
2.Llame depmod <kernel-version> en los equipos de destino.
3.Reinicie ESET Server Security for Linux en el equipo de destino para actualizar la tabla de módulos. Ejecute el siguiente comando como usuario con privilegios:
systemctl restart efs |
En todos los casos, sustituya <kernel-version> por la versión del kernel correspondiente.