Bezpieczny rozruch
Aby korzystać z ochrony systemu plików w czasie rzeczywistym i ochrony dostępu do stron internetowych na komputerze z włączonym bezpiecznym rozruchem, moduły jądra produktu ESET Server Security for Linux (ESSL) muszą być podpisane przy użyciu klucza prywatnego. Odpowiedni klucz publiczny musi zostać zaimportowany do UEFI. Program ESSL jest wyposażony we wbudowany skrypt podpisywania, który działa w trybie interaktywnym lub nieinteraktywnym.
Użyj narzędzia mokutil, aby sprawdzić, czy na urządzeniu włączony jest bezpieczny rozruch. Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
mokutil --sb-state |
Tryb interaktywny
Jeśli nie posiadasz klucza publicznego lub prywatnego do podpisania modułów jądra, tryb interaktywny może generować nowe klucze i podpisywać moduł jądra. Tryb ten pomaga również w rejestracji wygenerowanych kluczy w UEFI.
1.Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Gdy skrypt wyświetli monit o naciśnięcie klawiszy, wpisz N, a następnie naciśnij klawisz Enter.
3.Po wyświetleniu monitu o wygenerowanie nowych kluczy wpisz Y, a następnie naciśnij klawisz Enter. Skrypt podpisuje moduły jądra za pomocą wygenerowanego klucza prywatnego jądra za pomocą wygenerowanego klucza prywatnego.
4.Aby zarejestrować wygenerowany klucz publiczny do UEFI w sposób półautomatyczny, wpisz Y, a następnie naciśnij klawisz Enter. Aby ukończyć rejestrację ręcznie, wpisz N, naciśnij klawisz Enter i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
5.Po wyświetleniu monitu wprowadź wybrane hasło. Zapamiętaj je, ponieważ będzie potrzebne do ukończenia rejestracji (zatwierdzenie Machine Owner Key [MOK]) w UEFI.
6.Aby zapisać wygenerowane klucze na dysku twardym w celu ich późniejszego użycia, wpisz Y, wprowadź ścieżkę do katalogu i naciśnij klawisz Enter.
7.Aby ponownie uruchomić komputer i uzyskać dostęp do UEFI, wpisz Y po wyświetleniu monitu, a następnie naciśnij klawisz Enter.
8.Naciśnij dowolny klawisz w ciągu 10 sekund od wyświetlenia monitu o dostęp do UEFI.
9.Wybierz pozycję Zarejestruj MOK i naciśnij klawisz Enter.
10.Naciśnij przycisk Kontynuuj, a następnie naciśnij klawisz Enter.
11.Wybierz pozycję Tak i naciśnij klawisz Enter.
12.Aby ukończyć rejestrację i ponownie uruchomić komputer, wpisz hasło z kroku 5 i naciśnij klawisz Enter.
Tryb nieinteraktywny
Użyj tego trybu, jeśli na komputerze docelowym jest dostępny klucz prywatny i publiczny.
Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCJE]
Opcje — forma skrócona |
Opcje — forma długa |
Opis |
---|---|---|
-d |
--public-key |
Ustawianie ścieżki do klucza publicznego w formacie DER używanego do podpisywania |
-p |
--private-key |
Ustawianie ścieżki do klucza prywatnego używanego do podpisywania |
-k |
--kernel |
Ustawianie nazwy jądra, którego moduły muszą być podpisane. Jeśli go nie podasz, bieżące jądro zostanie ustawione jako domyślnie |
-a |
--kernel-all |
Podpisywanie (i tworzenie) modułów jądra na wszystkich istniejących jądrach zawierających nagłówki |
-h |
--help |
Pokaż pomoc |
1.Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Zastąp <path_to_private_key> i <path_to_public_key> ścieżką prowadzącą odpowiednio do klucza prywatnego i klucza publicznego.
2. Jeśli podany klucz publiczny nie jest jeszcze zarejestrowany w UEFI, wykonaj następujące polecenie jako użytkownik uprzywilejowany:
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Uruchom ponownie komputer, uzyskaj dostęp do UEFI, wybierz pozycję Zarejestruj MOK > Kontynuuj > Tak.
W systemie Amazon Linux 2023 dostarczony skrypt może być używany tylko do podpisywania modułów jądra ESET. Tylko pierwszy krok skryptu zostanie uruchomiony w trybie nieinteraktywnym, ponieważ mokutil nie działa. Aby kontynuować, musisz postępować zgodnie z oficjalną dokumentacją AWS w celu skonfigurowania EC2 z kluczami niestandardowymi. |
Zarządzanie kilkoma urządzeniami
Załóżmy, że zarządzasz kilkoma komputerami, które używają tego samego jądra Linuksa i mają ten sam klucz publiczny zarejestrowany w UEFI. W takim przypadku można podpisać moduł jądra produktu ESSL na jednej z maszyn zawierających klucz prywatny, a następnie przenieść podpisany moduł jądra na inne komputery. Po zakończeniu podpisywania wykonaj poniższe czynności:
1.Kopiuj i wklej podpisany moduły jądra z /lib/modules/<kernel-version>/eset/efs/eset_rtp i eset_wap do tej samej ścieżki na komputerach docelowych.
2.Wywołaj depmod <kernel-version> na komputerach docelowych.
3.Uruchom ponownie produkt ESET Server Security for Linux na komputerze docelowym, aby zaktualizować tabelę modułów. Wykonaj następujące polecenie jako użytkownik uprzywilejowany:
systemctl restart efs |
We wszystkich przypadkach należy zastąpić <kernel-version> odpowiednią wersją jądra.