セキュアブート
セキュアブートが有効なコンピューターでリアルタイムファイルシステム保護とWebアクセス保護を使用するには、ESET Server Security for Linux (ESSL)カーネルモジュールを秘密鍵で署名する必要があります。また、対応する公開鍵をUEFIにインポートする必要があります。ESSLにはビルトインの署名スクリプトが付属しています。このスクリプトは対話モードまたは非対話モードで動作します。
mokutilユーティリティを使用して、コンピューターでセキュアブートが有効であることを確認します。特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
mokutil --sb-state |
対話モード
カーネルモジュールに署名する公開鍵と秘密鍵がない場合、対話モードは新しい鍵を生成し、カーネルモジュールに署名できます。また、生成された鍵をUEFIで登録できます。
1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.スクリプトでキーを入力するように指示されたら、Nを入力してから、Enterキーを押します。
3.新しいキーを生成するように指示されたら、Yと入力してから、Enterキーを押します。スクリプトは、生成された秘密鍵でカーネルモジュールに署名します。
4.生成された公開鍵を自動的にUEFIに登録するには、Yと入力してから、Enterを押します。登録を手動で完了するには、Nと入力し、Enterキーを押して、画面の手順に従います。
5.メッセージが表示されたら、選択したパスワードを入力します。パスワードは覚えておいてください。UEFIでの登録が完了(新しいコンピューターの所有者鍵[MOK]の承認)したときに、パスワードが必要になります。
6.生成されたキーを後で使用するためにハードドライブに保存するには、Yと入力し、ディレクトリへのパスを入力して、Enterキーを押します。
7.UEFIを再起動してアクセスするには、メッセージが表示されたらYと入力し、Enterキーを押します。
8.UEFIにアクセスするように指示されたら、10秒以内に任意のキーを押します。
9.MOKの登録を選択し、Enterキーを押します。
10.続行を選択し、Enterキーを押します。
11.はいを選択し、Enterキーを押します。
12.登録を完了し、コンピューターを再起動するには、手順5のパスワードを入力し、Enterキーを押します。
非対話モード:
ターゲットコンピューターで公開鍵と秘密鍵を使用できる場合は、このモードを使用します。
Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[オプション]
オプション - 短縮型 |
オプション - 標準型 |
説明 |
---|---|---|
-d |
--public-key |
署名で使用するDER形式の公開鍵へのパスを設定 |
-p |
--private-key |
署名で使用する秘密鍵へのパスを設定 |
-k |
--kernel |
モジュールが署名される必要があるカーネルの名前を設定します。指定されていない場合、既定で現在のカーネルが選択されます |
-a |
--kernel-all |
ヘッダーを含むすべての既存のカーネルでカーネルモジュールを署名(およびビルド)する |
-h |
--help |
ヘルプを表示します |
1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
<path_to_private_key>と<path_to_public_key>をそれぞれ秘密鍵と公開鍵へのパスで置き換えます。
2. 指定された公開鍵がUEFIに登録されていない場合は、特権ユーザーで次のコマンドを実行します。
mokutil --import <path_to_public_key> |
<path_to_public_key>は指定された公開鍵を表します。
3.コンピューターを再起動し、UEFIにアクセスし、MOKの登録 > 続行 > はいを選択します。
Amazon Linux 2023では、提供されたスクリプトはESETカーネルモジュールの署名にのみ使用できます。このスクリプトの最初のステップのみが非対話モードで実行されます。これはmokutilが機能しないためです。続行するには、AWSの公式ドキュメントに従って、カスタムキーを使用してEC2を設定する必要があります。 |
複数のデバイスの管理
同じLinuxカーネルを使用し、同じ公開鍵がUEFIに登録されている複数のコンピューターを管理するとします。この場合、秘密鍵を含むコンピューターの1つでESSLカーネルモジュールを署名し、署名されたカーネルモジュールを他のコンピューターに転送できます。署名が完了したら、次の手順を実行します。
1./lib/modules/<kernel-version>/eset/efs/eset_rtpおよびeset_wapの署名されたカーネルモジュールをコピーして、ターゲットコンピューターの同じ場所に貼り付けます。
2.ターゲットコンピューターでdepmod <kernel-version> を呼び出します。
3.ターゲットコンピューターでESET Server Security for Linuxを再起動し、モジュールテーブルを更新します。次のコマンドを特権ユーザーで実行します。
systemctl restart efs |
すべての場合において、カーネルバージョン<kernel-version>を対応するカーネルバージョンで置換します。