ESETオンラインヘルプ

検索 English
トピックを選択

セキュアブート

セキュアブートが有効なコンピューターでリアルタイムファイルシステム保護Webアクセス保護を使用するには、ESET Server Security for Linux (ESSL)カーネルモジュールを秘密鍵で署名する必要があります。また、対応する公開鍵をUEFIにインポートする必要があります。ESSLにはビルトインの署名スクリプトが付属しています。このスクリプトは対話モードまたは非対話モードで動作します。

mokutilユーティリティを使用して、コンピューターでセキュアブートが有効であることを確認します。特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

対話モード

カーネルモジュールに署名する公開鍵と秘密鍵がない場合、対話モードは新しい鍵を生成し、カーネルモジュールに署名できます。また、生成された鍵をUEFIで登録できます。

1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

2.スクリプトでキーを入力するように指示されたら、Nを入力してから、Enterキーを押します。

3.新しいキーを生成するように指示されたら、Yと入力してから、Enterキーを押します。スクリプトは、生成された秘密鍵でカーネルモジュールに署名します。

4.生成された公開鍵を自動的にUEFIに登録するには、Yと入力してから、Enterを押します。登録を手動で完了するには、Nと入力し、Enterキーを押して、画面の手順に従います。

5.メッセージが表示されたら、選択したパスワードを入力します。パスワードは覚えておいてください。UEFIでの登録が完了(新しいコンピューターの所有者鍵[MOK]の承認)したときに、パスワードが必要になります。

6.生成されたキーを後で使用するためにハードドライブに保存するには、Yと入力し、ディレクトリへのパスを入力して、Enterキーを押します。

7.UEFIを再起動してアクセスするには、メッセージが表示されたらYと入力し、Enterキーを押します。

8.UEFIにアクセスするように指示されたら、10秒以内に任意のキーを押します。

9.MOKの登録を選択し、Enterキーを押します。

10.続行を選択し、Enterキーを押します。

11.はいを選択し、Enterキーを押します。

12.登録を完了し、コンピューターを再起動するには、手順5のパスワードを入力し、Enterキーを押します。

非対話モード:

ターゲットコンピューターで公開鍵と秘密鍵を使用できる場合は、このモードを使用します。

Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[オプション]

オプション - 短縮型

オプション - 標準型

説明

-d

--public-key

署名で使用するDER形式の公開鍵へのパスを設定

-p

--private-key

署名で使用する秘密鍵へのパスを設定

-k

--kernel

モジュールが署名される必要があるカーネルの名前を設定します。指定されていない場合、既定で現在のカーネルが選択されます

-a

--kernel-all

ヘッダーを含むすべての既存のカーネルでカーネルモジュールを署名(およびビルド)する

-h

--help

ヘルプを表示します

1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

<path_to_private_key><path_to_public_key>をそれぞれ秘密鍵と公開鍵へのパスで置き換えます。

2. 指定された公開鍵がUEFIに登録されていない場合は、特権ユーザーで次のコマンドを実行します。

<path_to_public_key>は指定された公開鍵を表します。

3.コンピューターを再起動し、UEFIにアクセスし、MOKの登録 > 続行 > はいを選択します。


warning

Amazon Linux 2023では、提供されたスクリプトはESETカーネルモジュールの署名にのみ使用できます。このスクリプトの最初のステップのみが非対話モードで実行されます。これはmokutilが機能しないためです。続行するには、AWSの公式ドキュメントに従って、カスタムキーを使用してEC2を設定する必要があります

複数のデバイスの管理

同じLinuxカーネルを使用し、同じ公開鍵がUEFIに登録されている複数のコンピューターを管理するとします。この場合、秘密鍵を含むコンピューターの1つでESSLカーネルモジュールを署名し、署名されたカーネルモジュールを他のコンピューターに転送できます。署名が完了したら、次の手順を実行します。

1./lib/modules/<kernel-version>/eset/efs/eset_rtpおよびeset_wapの署名されたカーネルモジュールをコピーして、ターゲットコンピューターの同じ場所に貼り付けます。

2.ターゲットコンピューターでdepmod <kernel-version> を呼び出します。

3.ターゲットコンピューターでESET Server Security for Linuxを再起動し、モジュールテーブルを更新します。次のコマンドを特権ユーザーで実行します。

すべての場合において、カーネルバージョン<kernel-version>を対応するカーネルバージョンで置換します。