Ayuda en línea de ESET

Búsqueda English
Seleccione el tema

Arranque seguro

Para utilizar la protección del sistema de archivos en tiempo real y la protección de acceso a la web en un equipo con la opción Arranque seguro activada, los módulos del kernel ESET Server Security for Linux (ESSL) deben estar firmados con una clave privada. La clave pública correspondiente debe importarse en UEFI. ESSL incluye un script de firma integrado, que funciona en modo interactivo o no interactivo.

Utilice la utilidad mokutil para verificar que la opción Arranque seguro esté activada en el equipo. Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

Modo interactivo

Si no dispone de una clave pública y de una clave privada para firmar los módulos del kernel, el modo interactivo puede generar nuevas claves y firmar el módulo del kernel. También ayuda a inscribir las claves generadas en UEFI.

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

2.Cuando el script le solicite las claves, escriba N y, a continuación, pulse Entrar.

3.Cuando se le pida que genere nuevas claves, escriba Y y, a continuación, pulse Entrar. El script firma los módulos del kernel con la clave privada generada.

4.Para inscribir la clave pública generada en UEFI semiautomáticamente, escriba Y y, a continuación, pulse Entrar. Para completar la inscripción manualmente, escriba N, pulse Entrar y siga las instrucciones que aparecen en la pantalla.

5.Cuando se le indique, introduzca una contraseña de su elección. Recuerde la contraseña; la necesitará al completar la inscripción (aprobación de la nueva clave de propietario del equipo [MOK]) en UEFI.

6.Para guardar las claves generadas en el disco duro para usarlas más adelante, escriba Y, introduzca la ruta de acceso a un directorio y pulse Entrar.

7.Para reiniciar y acceder a UEFI, escriba Y cuando se le indique y pulse Entrar.

8.Pulse cualquier tecla en un plazo de 10 segundos cuando se le pida para acceder a UEFI.

9.Seleccione Inscribir MOK y pulse Entrar.

10.Seleccione Continuar y pulse Entrar.

11.Seleccione y pulse Entrar.

12.Para completar la inscripción y reiniciar el equipo, escriba la contraseña del paso 5 y pulse Entrar.

Modo no interactivo

Utilice este modo si tiene una clave privada y una clave pública disponibles en el equipo de destino.

Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCIONES]

Opciones: forma abreviada

Opciones: forma completa

Descripción

-d

--public-key

Establecer la ruta de acceso a una clave pública con formato DER que se utilizará para firmar

-p

--private-key

Establecer la ruta de acceso a la clave privada que se utilizará para firmar

-k

--kernel

Establecer el nombre del kernel cuyos módulos deben firmarse. Si no se especifica, el kernel actual se selecciona de forma predeterminada

-a

--kernel-all

Firmar (y crear) módulos del kernel en todos los kernels existentes que contengan encabezados

-h

--help

Mostrar ayuda

1.Ejecute el siguiente comando desde una ventana de terminal como usuario con privilegios:

Sustituya <path_to_private_key> y <path_to_public_key> por la ruta de acceso que lleva a una clave privada y a una clave pública, respectivamente.

2. Si la clave pública proporcionada aún no está inscrita en UEFI, ejecute el siguiente comando como usuario con privilegios:

<path_to_public_key> represents the provided public key.

3.Reinicie el equipo, acceda a UEFI, seleccione Inscribir MOK > Continuar > .


warning

En Amazon Linux 2023, el script proporcionado solo se puede utilizar para firmar módulos del kernel de ESET. Solo el primer paso del script se ejecutará en modo no interactivo, ya que mokutil no es funcional. Para continuar, debe seguir la documentación oficial de AWS para configurar EC2 con claves personalizadas.

Administración de varios dispositivos

Suponga que administra varios equipos que utilizan el mismo kernel Linux y tienen la misma clave pública inscrita en UEFI. En ese caso, puede firmar el módulo del kernel de ESSL en uno de esos equipos que contienen la clave privada y, a continuación, transferir el módulo del kernel firmado a los demás equipos. Cuando la firma se haya completado:

1.Copie los módulos del kernel firmado en /lib/modules/<kernel-version>/eset/efs/eset_rtp y eset_wap y péguelo en la misma ruta de acceso en los equipos de destino.

2.Llame a depmod <kernel-version> en los equipos de destino.

3.Reinicie ESET Server Security for Linux en el equipo de destino para actualizar la tabla de módulos. Ejecute el siguiente comando como usuario con privilegios:

En todos los casos, sustituya <kernel-version> por la versión del kernel correspondiente.