セキュアブート

セキュアブートが有効なコンピューターでリアルタイムファイルシステム保護を使用するには、ESET Server Security for Linux (ESSL)カーネルモジュールを秘密鍵で署名する必要があります。また、対応する公開鍵をUEFIにインポートする必要があります。ESSLバージョン8にはビルトインの署名スクリプトが付属しています。このスクリプトは対話モードまたは非対話モードで動作します。

mokutilユーティリティを使用して、コンピューターでセキュアブートが有効であることを確認します。特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

mokutil --sb-state

対話モード

カーネルモジュールに署名する公開鍵と秘密鍵がない場合、対話モードは新しい鍵を生成し、カーネルモジュールに署名できます。また、生成された鍵をUEFIで登録できます。

1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.スクリプトでキーを入力するように指示されたら、nを入力してから、Enterキーを押します。

3.新しいキーを生成するように指示されたら、yと入力してから、Enterキーを押します。スクリプトは、生成された秘密鍵でカーネルモジュールに署名します。

4.生成された公開鍵を自動的にUEFIに登録するには、yと入力してから、Enterを押します。登録を手動で完了するには、nと入力し、Enterキーを押して、画面の手順に従います。

5.メッセージが表示されたら、選択したパスワードを入力します。パスワードは覚えておいてください。UEFIでの登録が完了(新しいコンピューターの所有者鍵[MOK]の承認)したときに、パスワードが必要になります。

6.生成されたキーを後で使用するためにハードドライブに保存するには、yと入力し、ディレクトリへのパスを入力して、Enterキーを押します。

7.UEFIを再起動してアクセスするには、メッセージが表示されたらyと入力し、Enterキーを押します。

8.UEFIにアクセスするように指示されたら、10秒以内に任意のキーを押します。

9.MOKの登録を選択し、Enterキーを押します。

10.続行を選択し、Enterキーを押します。

11.はいを選択し、Enterキーを押します。

12.登録を完了し、コンピューターを再起動するには、手順5のパスワードを入力し、Enterキーを押します。

非対話モード:

ターゲットコンピューターで公開鍵と秘密鍵を使用できる場合は、このモードを使用します。

構文: /opt/eset/efs/lib/install_scripts/sign_modules.sh [OPTIONS]

オプション - 短縮型

オプション - 標準型

説明

-d

--public-key

署名で使用するDER形式の公開鍵へのパスを設定

-p

--private-key

署名で使用する秘密鍵へのパスを設定

-k

--kernel

モジュールが署名される必要があるカーネルの名前を設定します。指定されていない場合、既定で現在のカーネルが選択されます

-a

--kernel-all

ヘッダーを含むすべての既存のカーネルでカーネルモジュールを署名(およびビルド)する

-h

--help

ヘルプを表示します

1.特権ユーザーで、ターミナルウィンドウから次のコマンドを実行します。

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

<path_to_private_key><path_to_public_key>をそれぞれ秘密鍵と公開鍵へのパスで置き換えます。

2. 指定された公開鍵がUEFIに登録されていない場合は、特権ユーザーで次のコマンドを実行します。

mokutil --import <path_to_public_key>

<path_to_public_key>は指定された公開鍵を表します。

3.コンピューターを再起動し、UEFIにアクセスし、MOKの登録 > 続行 > はいを選択します。

複数のデバイスの管理

同じLinuxカーネルを使用し、同じ公開鍵がUEFIに登録されている複数のコンピューターを管理するとします。この場合、秘密鍵を含むコンピューターの1つでESSLカーネルモジュールを署名し、署名されたカーネルモジュールを他のコンピューターに転送できます。署名が完了したら、次の手順を実行します。

1./lib/modules/<kernel-version>/eset/eea/eset_rtpの署名されたカーネルモジュールをコピーして、ターゲットコンピューターの同じ場所に貼り付けます。

2.ターゲットコンピューターでdepmod <kernel-version>を呼び出します。

3.ターゲットコンピューターでESET Server Security for Linuxを再起動し、モジュールテーブルを更新します。次のコマンドを特権ユーザーで実行します。

systemctl restart efs

すべての場合において、カーネルバージョン<kernel-version>を対応するカーネルバージョンで置換します。