Démarrage sécurisé
Pour utiliser la protection en temps réel du système de fichiers et protection de l'accès web sur un ordinateur sur lequel le démarrage sécurisé est activé, le module de noyau ESET Server Security for Linux (ESSL) doit être signé avec une clé privée. La clé publique correspondante doit être importée dans UEFI. ESSL version 8 contient un script de signature intégré qui fonctionne en mode interactif ou non interactif..
Utilisez l’utilitaire mokutil pour vérifier que le démarrage sécurisé est activé sur la machine. Exécutez la commande suivante à dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
mokutil --sb-state |
Mode interactif
Si vous ne disposez pas d'une clé publique et d'une clé privée pour signer les modules de noyau, le mode interactif peut générer de nouvelles clés et signer le module de noyau. Il permet également d’inscrire les clés générées dans UEFI.
1.Exécutez la commande suivante à dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Lorsque le script vous demande les clés, saisissez N, puis appuyez sur Entrée.
3.Lorsque vous êtes invité à générer de nouvelles clés, saisissez Y, puis appuyez sur Entrée. Le script signe les modules de noyau avec la clé privée générée.
4.Pour inscrire la clé publique générée dans UEFI de manière semi-automatique, saisissez Y, puis appuyez sur Entrée. Pour effectuer l’inscription manuellement, saisissez N, appuyez sur Entrée, puis suivez les instructions à l’écran.
5.Lorsque vous y êtes invité, saisissez le mot de passe de votre choix. Mémorisez-le, car vous en aurez besoin pour terminer l’inscription (approbation de la nouvelle clé propriétaire de la machine [MOK]) dans UEFI.
6.Pour enregistrer les clés générées sur votre disque dur en vue d’une utilisation ultérieure, saisissez Y, entrez le chemin d’accès à un répertoire, puis appuyez sur Entrée.
7.Pour redémarrer l'ordinateur et accéder à UEFI, saisissez Y lorsque vous y êtes invité, puis appuyez sur Entrée.
8.Appuyez sur une touche dans les 10 secondes lorsque vous êtes invité à accéder à UEFI.
9.Sélectionnez Enroll MOK (Inscrire MOK), puis appuyez sur Entrée.
10.Sélectionnez Continue (Continuer), puis appuyez sur Entrée.
11.Sélectionnez Yes (Oui), puis appuyez sur Entrée.
12.Pour terminer l’inscription et redémarrer l’ordinateur, saisissez le mot de passe défini à l’étape 5, puis appuyez sur Entrée.
Mode non interactif
Utilisez ce mode si une clé privée et une clé publique sont disponibles sur l’ordinateur cible.
Syntaxe: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPTIONS]
Options - forme courte |
Options - forme longue |
Description |
---|---|---|
-d |
--public-key |
Définir le chemin d’accès à une clé publique au format DER à utiliser pour la signature |
-p |
--private-key |
Définir le chemin d’accès à la clé privée à utiliser pour la signature |
-k |
--kernel |
Définir le nom du noyau dont les modules doivent être signés. S’il n’est pas spécifié, le noyau actuel est sélectionné par défaut. |
-a |
--kernel-all |
Signer (et créer) les modules de noyau sur tous les noyaux existants contenant des en-têtes |
-h |
--help |
Afficher l'aide |
1.Exécutez la commande suivante à dans une fenêtre de terminal en tant qu’utilisateur avec privilèges :
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Remplacez <path_to_private_key> et <path_to_public_key> par le chemin d'accès à une clé privée et une clé publique, respectivement.
2. Si la clé publique fournie n’est pas encore inscrite dans UEFI, exécutez la commande suivante en tant qu’utilisateur avec privilèges :
mokutil --import <path_to_public_key> |
<path_to_public_key> représente la clé publique fournie.
3.Redémarrez l’ordinateur, accédez à UEFI, sélectionnez Enroll MOK > Continue > Yes.
Sur Amazon Linux 2023, le script fourni ne peut être utilisé que pour signer les modules du noyau ESET. Seule la première étape du script s'exécutera en mode non interactif, car mokutil n'est pas fonctionnel. Vous devez suivre la documentation officielle d'AWS pour configurer EC2 avec des clés personnalisées pour continuer. |
Gestion de plusieurs appareils
Supposons que vous gérez plusieurs ordinateurs qui utilisent le même noyau Linux et dont la même clé publique est inscrite dans UEFI. Dans ce cas, vous pouvez signer le module de noyau ESSL sur l’une de ces machines contenant la clé privée et transférer ensuite le module de noyau signé vers les autres ordinateurs. Une fois la signature effectuée :
1.Copiez/collez les modules de noyau signé depuis /lib/modules/<kernel-version>/eset/efs/eset_rtpeset_wap dans le même chemin sur les ordinateurs cibles.
2.Appelez depmod <kernel-version> sur les ordinateurs cibles.
3.Redémarrez ESET Server Security for Linux sur l’ordinateur cible pour mettre à jour la table des modules. Exécutez la commande suivante en tant qu’utilisateur avec privilèges :
systemctl restart efs |
Dans tous les cas, remplacez <kernel-version> par la version du noyau correspondante.