Безпечне завантаження
Щоб мати змогу використовувати Захист файлової системи в режимі реального часу й захист доступу до Інтернету на комп’ютері з увімкненим модулем Безпечне завантаження, модуль ядра ESET Server Security for Linux (ESSL) має бути підписаний закритим ключем. Відповідний відкритий ключ потрібно імпортувати в систему UEFI. ESSL містить вбудований сценарій підписування, який працює в інтерактивному або неінтерактивному режимі.
Щоб перевірити, чи ввімкнено на комп’ютері безпечне завантаження, скористайтесь утилітою mokutil. У вікні термінала від імені привілейованого користувача виконайте таку команду:
mokutil --sb-state |
Інтерактивний режим
Якщо у вас немає відкритого й закритого ключів для підписання модулів ядра, в інтерактивному режимі можна автоматично створити нові ключі й підписати ними модуль ядра. Окрім того, цей режим допоможе зареєструвати згенеровані ключі в UEFI.
|
Важливо виконати кроки 9–13 із першої спроби. Якщо ви пропустили 10-секундний інтервал, повторно інсталюйте програму. Виконуйте повторну процедуру підписання лише після того, як заново інсталюєте програму. Інакше підписання може не вдатися, оскільки модулі не буде повторно підписано новими ключами. |
1.У вікні термінала від імені привілейованого користувача виконайте таку команду:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Коли сценарій запропонує вказати ключі, уведіть N і натисніть клавішу ENTER.
3.Коли з’явиться запит на створення нових ключів, уведіть Y і натисніть клавішу ENTER.
4.Введіть пароль від закритого ключа, коли з’явиться відповідний запит, і натисніть клавішу Enter. Запам’ятайте цей пароль: він може знадобитися для майбутніх операцій. Сценарій підпише модулі ядра згенерованим закритим ключем.
5.Щоб зареєструвати згенерований відкритий ключ у системі UEFI у полуавтоматичному режимі, уведіть Y і натисніть клавішу ENTER. Щоб завершити процес реєстрації вручну, уведіть N і натисніть клавішу ENTER. Після цього дотримуйтеся інструкцій на екрані.
6.Коли з’явиться відповідний запит, уведіть пароль на власний розсуд. Запам’ятайте пароль. Він знадобиться для реєстрації (підтвердження нового ключа власника машини \[MOK]) в UEFI.
7.Щоб зберегти згенеровані ключі на жорсткий диск для подальшого використання, уведіть Y, укажіть шлях до каталогу й натисніть клавішу ENTER.
8.Щоб перезавантажити систему UEFI і отримати доступ до нього, у відповідному запиті введіть Y і натисніть клавішу ENTER.
9.Коли з’явиться запит на доступ до UEFI, натисніть будь-яку клавішу й утримуйте її протягом 10 секунд.
10.Виберіть Enroll MOK (Зареєструвати MOK) і натисніть клавішу ENTER.
11.Виберіть Продовжити й натисніть клавішу ENTER.
12.Виберіть Так і натисніть клавішу ENTER.
13.Щоб завершити реєстрацію і перезавантажити комп’ютер, уведіть пароль, заданий на кроці 5, і натисніть клавішу ENTER.
Неінтерактивний режим
Використовуйте цей режим, якщо на цільовому комп’ютері є закритий і відкритий ключ.
Синтаксис: /opt/eset/efs/lib/install_scripts/sign_modules.sh [OPTIONS]
Параметри: коротка форма |
Параметри: довга форма |
Опис |
|---|---|---|
-d |
--public-key |
Задайте шлях до відкритого ключа (у форматі DER), який буде використовуватися для підписування |
-p |
--private-key |
Задайте шлях до закритого ключа, який буде використовуватися для підписування |
-k |
--kernel |
Задайте ім’я ядра, для якого необхідно підписати модулі. Якщо ім’я не вказано, за замовчуванням вибирається поточне ядро |
-a |
--kernel-all |
Підпишіть (і створіть збірку) модулів ядра в усіх наявних ядрах, які містять заголовки |
-c |
--copy-keys |
Скопіюйте надані або згенеровані ключі в каталог /var/opt/eset/efs/uefi. Наявність ключів у цьому каталозі дає змогу автоматично підписувати модулі ядра після будь-якого майбутнього оновлення ядра, якщо ключ не захищено паролем. |
-h |
--help |
Показати довідку |
1.У вікні термінала від імені привілейованого користувача виконайте таку команду:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Замініть <path_to_private_key> і <path_to_public_key> на шлях до закритого й відкритого ключів відповідно.
2. Якщо наданий відкритий ключ ще не реєструвався в системі UEFI, виконайте таку команду від імені привілейованого користувача:
mokutil --import <path_to_public_key> |
<path_to_public_key> — це наданий відкритий ключ.
3.Перезавантажте комп’ютер, увійдіть у систему UEFI, а потім виберіть пункти Enroll MOK (Зареєструвати MOK) > Continue (Продовжити) > Yes (Так).
|
В Amazon Linux 2023 наданий сценарій можна використовувати лише для підпису модулів ядра ESET. Оскільки mokutil не працює в неінтерактивному режимі, виконуватиметься лише перший етап зі сценарію. Щоб продовжити, налаштуйте EC2 за допомогою спеціальних ключів, дотримуючись указівок в офіційній документації AWS. |
Керування кількома пристроями
Припустимо, що ви керуєте кількома комп’ютерами, які використовують однакове ядро Linux і мають однаковий відкритий ключ, зареєстрований у системі UEFI. У такому разі модуль ядра ESSL можна підписати на одному з цих комп’ютерів, що містить закритий ключ, а потім перенести підписаний модуль ядра на інші комп’ютери. Коли завершиться підписання, виконайте такі кроки:
1.Скопіюйте підписаний модуль ядра з /lib/modules/<kernel-version>/eset/efs/eset_rtp й eset_wap і вставте в те саме розташування на цільових комп’ютерах.
2.Викличте depmod <kernel-version> на цільових комп’ютерах.
3.Щоб оновити таблицю модулів, перезавантажте ESET Server Security for Linux на цільовому комп’ютері. Виконайте таку команду від імені привілейованого користувача:
systemctl restart efs |
У всіх випадках замініть <kernel-version> на відповідну версію ядра.