Інтерактивна довідка ESET

Виберіть тему

Безпечне завантаження

Щоб мати змогу використовувати захист файлової системи в режимі реального часу й захист доступу до інтернету на комп’ютері з увімкненим модулем Безпечне завантаження, модулі ядра ESET Server Security for Linux (ESSL) мають бути підписані закритим ключем. Відповідний відкритий ключ необхідно імпортувати в UEFI. У ESSL є вбудований сценарій підписання, який працює в інтерактивному або неінтерактивному режимі.

Скористайтеся утилітою mokutil, щоб перевірити, чи ввімкнуто безпечне завантаження на комп’ютері. У вікні термінала від імені привілейованого користувача виконайте таку команду:

mokutil --sb-state

Інтерактивний режим

Якщо у вас немає відкритого й закритого ключів для підписання модулів ядра, в інтерактивному режимі можна згенерувати нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.

3.Коли з’явиться запит на створення нових ключів, уведіть Y і натисніть клавішу ENTER. Сценарій підпише модулі ядра згенерованим закритим ключем.

4.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.

5.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.

6.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.

7.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.

8.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.

9.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.

10.Виберіть Продовжити й натисніть клавішу ENTER.

11.Виберіть Так і натисніть клавішу ENTER.

12.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.

Неінтерактивний режим

Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.

Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [ПАРАМЕТРИ]

Параметри: коротка форма

Параметри: довга форма

Опис

-d

--public-key

Задайте шлях до відкритого ключа (у форматі DER), який буде використовуватися для підписування

-p

--private-key

Задайте шлях до закритого ключа, який буде використовуватися для підписування

-k

--kernel

Задайте ім’я ядра, для якого необхідно підписати модулі. Якщо ім’я не вказано, за замовчуванням вибирається поточне ядро

-a

--kernel-all

Підпишіть (і створіть збірку) модулів ядра в усіх наявних ядрах, які містять заголовки

-h

--help

Показати довідку

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.

2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:

mokutil --import <path_to_public_key>

<path_to_public_key> — це наданий відкритий ключ.

3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).

Керування кількома пристроями

Припустімо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:

1.Скопіюйте та вставте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp a eset_wap в те саме розташування на цільових комп’ютерах.

2.Викличте depmod <kernel-version> на цільових комп’ютерах.

3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:

systemctl restart efs

У всіх випадках замініть <kernel-version> на відповідну версію ядра.