Arranque seguro
Para utilizar la protección del sistema de archivos en tiempo real y protección de acceso a la web en un equipo con la opción Arranque seguro activada, el módulo del kernel ESET Server Security for Linux (ESSL) debe estar firmado con una clave privada. La clave pública correspondiente debe importarse en UEFI. ESSL incluye un script de firma integrado, que funciona en modo interactivo o no interactivo.
Utilice la utilidad mokutil para verificar que la opción Arranque seguro esté activada en el equipo. Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:
mokutil --sb-state |
Modo interactivo
Si no dispone de una clave pública y de una clave privada para firmar el módulo del kernel, el modo interactivo puede generar nuevas claves y firmar el módulo del kernel. También ayuda a inscribir las claves generadas en UEFI.
1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Cuando el script le solicite las claves, escriba N y, a continuación, pulse Entrar.
3.Cuando se le pida que genere nuevas claves, escriba Y y, a continuación, pulse Entrar. El script firma los módulos del kernel con la clave privada generada.
4.Para inscribir la clave pública generada en UEFI semiautomáticamente, escriba Y y, a continuación, pulse Entrar. Para completar la inscripción manualmente, escriba N, pulse Entrar y siga las instrucciones que aparecen en la pantalla.
5.Cuando se le indique, introduzca una contraseña de su elección. Recuerde la contraseña; la necesitará al completar la inscripción (aprobación de la nueva clave de propietario del equipo [MOK]) en UEFI.
6.Para guardar las claves generadas en el disco duro para usarlas más adelante, escriba Y, introduzca la ruta de acceso a un directorio y pulse Entrar.
7.Para reiniciar y acceder a UEFI, escriba Y cuando se le indique y pulse Entrar.
8.Pulse cualquier tecla en un plazo de 10 segundos cuando se le pida para acceder a UEFI.
9.Seleccione Inscribir MOK y pulse Entrar.
10.Seleccione Continuar y pulse Entrar.
11.Seleccione Sí y pulse Entrar.
12.Para completar la inscripción y reiniciar el equipo, escriba la contraseña del paso 5 y pulse Entrar.
Modo no interactivo
Utilice este modo si tiene una clave privada y una clave pública disponibles en el equipo de destino.
Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCIONES]
Opciones: forma abreviada |
Opciones: forma completa |
Descripción |
---|---|---|
-d |
--public-key |
Establecer la ruta de acceso a una clave pública con formato DER que se utilizará para firmar |
-p |
--private-key |
Establecer la ruta de acceso a la clave privada que se utilizará para firmar |
-k |
--kernel |
Establecer el nombre del kernel cuyos módulos deben firmarse. Si no se especifica, el kernel actual se selecciona de forma predeterminada |
-a |
--kernel-all |
Firmar (y crear) módulos del kernel en todos los kernels existentes que contengan encabezados |
-h |
--help |
Mostrar ayuda |
1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Sustituya <path_to_private_key> y <path_to_public_key> por la ruta de acceso que lleva a una clave privada y a una clave pública, respectivamente.
2. Si la clave pública proporcionada aún no está inscrita en UEFI, ejecute el siguiente comando como usuario con privilegios:
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Reinicie el equipo, acceda a UEFI, seleccione Inscribir MOK > Continuar > Sí.
Administración de varios dispositivos
Suponga que administra varios equipos que utilizan el mismo kernel Linux y tienen la misma clave pública inscrita en UEFI. En ese caso, puede firmar el módulo del kernel de ESSL en uno de esos equipos que contienen la clave privada y, a continuación, transferir el módulo del kernel firmado a los demás equipos. Cuando la firma se haya completado:
1.Copie los módulos del kernel firmado en /lib/modules/<kernel-version>/eset/efs/eset_rtp y eset_wap y péguelo en la misma ruta de acceso en los equipos de destino.
2.Llame a depmod <kernel-version> en los equipos de destino.
3.Reinicie ESET Server Security for Linux en el equipo de destino para actualizar la tabla de módulos. Ejecute el siguiente comando como usuario con privilegios:
systemctl restart efs |
En todos los casos, sustituya <kernel-version> por la versión del kernel correspondiente.