Arranque seguro

Para utilizar la protección del sistema de archivos en tiempo real y la protección de acceso a la web en un equipo con la opción Arranque seguro activada, los módulos del kernel ESET Server Security for Linux (ESSL) deben estar firmados con una clave privada. La clave pública correspondiente debe importarse en UEFI. ESSL incluye un script de firma integrado, que funciona en modo interactivo o no interactivo.

Utilice la utilidad mokutil para verificar que la opción Arranque seguro esté activada en el equipo. Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

Modo interactivo

Si no dispone de una clave pública y de una clave privada para firmar los módulos del kernel, el modo interactivo puede generar nuevas claves y firmar el módulo del kernel. También ayuda a inscribir las claves generadas en UEFI.

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

2.Cuando el script le solicite las claves, escriba N y, a continuación, pulse Entrar.

3.Cuando se le pida que genere nuevas claves, escriba Y y, a continuación, pulse Entrar. El script firma los módulos del kernel con la clave privada generada.

4.Para inscribir la clave pública generada en UEFI semiautomáticamente, escriba Y y, a continuación, pulse Entrar. Para completar la inscripción manualmente, escriba N, pulse Entrar y siga las instrucciones que aparecen en la pantalla.

5.Cuando se le indique, introduzca una contraseña de su elección. Recuerde la contraseña; la necesitará al completar la inscripción (aprobación de la nueva clave de propietario del equipo [MOK]) en UEFI.

6.Para guardar las claves generadas en el disco duro para usarlas más adelante, escriba Y, introduzca la ruta de acceso a un directorio y pulse Entrar.

7.Para reiniciar y acceder a UEFI, escriba Y cuando se le indique y pulse Entrar.

8.Pulse cualquier tecla en un plazo de 10 segundos cuando se le pida para acceder a UEFI.

9.Seleccione Inscribir MOK y pulse Entrar.

10.Seleccione Continuar y pulse Entrar.

11.Seleccione Sí y pulse Entrar.

12.Para completar la inscripción y reiniciar el equipo, escriba la contraseña del paso 5 y pulse Entrar.

Modo no interactivo

Utilice este modo si tiene una clave privada y una clave pública disponibles en el equipo de destino.

Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCIONES]

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

Sustituya <path_to_private_key> y <path_to_public_key> por la ruta de acceso que lleva a una clave privada y a una clave pública, respectivamente.

2. Si la clave pública proporcionada aún no está inscrita en UEFI, ejecute el siguiente comando como usuario con privilegios:

<path_to_public_key> represents the provided public key.

3.Reinicie el equipo, acceda a UEFI, seleccione Inscribir MOK > Continuar > Sí.

Administración de varios dispositivos

Suponga que administra varios equipos que utilizan el mismo kernel Linux y tienen la misma clave pública inscrita en UEFI. En ese caso, puede firmar el módulo del kernel de ESSL en uno de esos equipos que contienen la clave privada y, a continuación, transferir el módulo del kernel firmado a los demás equipos. Cuando la firma se haya completado:

1.Copie los módulos del kernel firmado en /lib/modules/<kernel-version>/eset/efs/eset_rtp y eset_wap y péguelo en la misma ruta de acceso en los equipos de destino.

2.Llame a depmod <kernel-version> en los equipos de destino.

3.Reinicie ESET Server Security for Linux en el equipo de destino para actualizar la tabla de módulos. Ejecute el siguiente comando como usuario con privilegios:

En todos los casos, sustituya <kernel-version> por la versión del kernel correspondiente.