Інтерактивна довідка ESET

Пошук English
Виберіть тему

Безпечне завантаження

Щоб мати змогу використовувати Захист файлової системи в режимі реального часу й захист доступу до Інтернету на комп’ютері з увімкненим модулем Безпечне завантаження, модуль ядра ESET Server Security for Linux (ESSL) має бути підписаний закритим ключем. Відповідний відкритий ключ потрібно імпортувати в систему UEFI. ESSL містить вбудований сценарій підписування, який працює в інтерактивному або неінтерактивному режимі.

Щоб перевірити, чи ввімкнуто на комп’ютері модуль "Безпечне завантаження", скористайтеся утилітою mokutil. У вікні термінала від імені привілейованого користувача виконайте таку команду:

Інтерактивний режим

Якщо у вас немає відкритого й закритого ключів для підписання модулів ядра, в інтерактивному режимі можна автоматично створити нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.

3.Коли з’явиться запит на створення нових ключів, введіть Y і натисніть клавішу ENTER. Сценарій підпише модулі ядра згенерованим закритим ключем.

4.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.

5.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.

6.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.

7.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.

8.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.

9.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.

10.Виберіть Продовжити й натисніть клавішу ENTER.

11.Виберіть Так і натисніть клавішу ENTER.

12.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.

Неінтерактивний режим

Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.

Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [ПАРАМЕТРИ]

Параметри: коротка форма

Параметри: довга форма

Опис

-d

--public-key

Задайте шлях до відкритого ключа (у форматі DER), який буде використовуватися для підписування

-p

--private-key

Задайте шлях до закритого ключа, який буде використовуватися для підписування

-k

--kernel

Задайте ім’я ядра, для якого необхідно підписати модулі. Якщо ім’я не вказано, за замовчуванням вибирається поточне ядро

-a

--kernel-all

Підпишіть (і створіть збірку) модулів ядра в усіх наявних ядрах, які містять заголовки

-h

--help

Показати довідку

1.У вікні термінала від імені привілейованого користувача виконайте таку команду:

Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.

2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:

<path_to_public_key> — це наданий відкритий ключ.

3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).


warning

В Amazon Linux 2023 наданий сценарій можна використовувати лише для підпису модулів ядра ESET. Оскільки mokutil не працює в неінтерактивному режимі, виконуватиметься лише перший етап зі сценарію. Щоб продовжити, налаштуйте EC2 за допомогою спеціальних ключів, дотримуючись указівок в офіційній документації AWS.

Керування кількома пристроями

Припустимо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:

1.Скопіюйте та вставте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp a eset_wap в те саме розташування на цільових комп’ютерах.

2.Викличте depmod <kernel-version> на цільових комп’ютерах.

3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:

У всіх випадках замініть <kernel-version> на відповідну версію ядра.