Безпечне завантаження
Щоб мати змогу використовувати Захист файлової системи в режимі реального часу й захист доступу до Інтернету на комп’ютері з увімкненим модулем Безпечне завантаження, модуль ядра ESET Server Security for Linux (ESSL) має бути підписаний закритим ключем. Відповідний відкритий ключ потрібно імпортувати в систему UEFI. ESSL містить вбудований сценарій підписування, який працює в інтерактивному або неінтерактивному режимі.
Щоб перевірити, чи ввімкнено на комп’ютері безпечне завантаження, скористайтесь утилітою mokutil. У вікні термінала від імені привілейованого користувача виконайте таку команду:
mokutil --sb-state |
Інтерактивний режим
Якщо у вас немає відкритого й закритого ключів для підписання модулів ядра, в інтерактивному режимі можна автоматично створити нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.
|
Важливо виконати кроки 8–12 із першої спроби. Якщо ви пропустили 10-секундний інтервал, повторно інсталюйте продукт. Виконуйте повторну процедуру підписання тільки після того, як заново інсталюєте продукт, інакше підписання може не вдатися, оскільки модулі не буде повторно підписано новими ключами. |
1.У вікні термінала від імені привілейованого користувача виконайте таку команду:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.
3.Коли з’явиться запит на створення нових ключів, введіть Y і натисніть клавішу ENTER. Сценарій підпише модулі ядра згенерованим закритим ключем.
4.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.
5.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.
6.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.
7.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.
8.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.
9.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.
10.Виберіть Продовжити й натисніть клавішу ENTER.
11.Виберіть Так і натисніть клавішу ENTER.
12.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.
Неінтерактивний режим
Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.
Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [OPTIONS]
Параметри: коротка форма |
Параметри: довга форма |
Опис |
|---|---|---|
-d |
--public-key |
Задайте шлях до відкритого ключа (у форматі DER), який буде використовуватися для підписування |
-p |
--private-key |
Задайте шлях до закритого ключа, який буде використовуватися для підписування |
-k |
--kernel |
Задайте ім’я ядра, для якого необхідно підписати модулі. Якщо ім’я не вказано, за замовчуванням вибирається поточне ядро |
-a |
--kernel-all |
Підпишіть (і створіть збірку) модулів ядра в усіх наявних ядрах, які містять заголовки |
-h |
--help |
Показати довідку |
1.У вікні термінала від імені привілейованого користувача виконайте таку команду:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.
2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:
mokutil --import <path_to_public_key> |
<path_to_public_key> — це наданий відкритий ключ.
3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).
|
В Amazon Linux 2023 наданий сценарій можна використовувати лише для підпису модулів ядра ESET. Оскільки mokutil не працює в неінтерактивному режимі, виконуватиметься лише перший етап зі сценарію. Щоб продовжити, налаштуйте EC2 за допомогою спеціальних ключів, дотримуючись указівок в офіційній документації AWS. |
Керування кількома пристроями
Припустимо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:
1.Скопіюйте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp й eset_wap і вставте в те саме розташування на цільових комп’ютерах.
2.Викличте depmod <kernel-version> на цільових комп’ютерах.
3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:
systemctl restart efs |
У всіх випадках замініть <kernel-version> на відповідну версію ядра.