Pomoc online ESET

Wyszukaj Polski
Wybierz temat

Bezpieczny rozruch

Aby korzystać z ochrony systemu plików w czasie rzeczywistym na komputerze z włączonym bezpiecznym rozruchem, moduł jądra produktu ESET Server Security for Linux (ESSL) musi być podpisany przy użyciu klucza prywatnego. Odpowiedni klucz publiczny musi zostać zaimportowany do UEFI. Program ESSL w wersji 8 jest wyposażony we wbudowany skrypt podpisywania, który działa w trybie interaktywnym lub nieinteraktywnym.

Użyj narzędzia mokutil, aby sprawdzić, czy na urządzeniu włączony jest bezpieczny rozruch. Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:

mokutil --sb-state

Tryb interaktywny

Jeśli nie posiadasz klucza publicznego lub prywatnego do podpisania modułu jądra, tryb interaktywny może generować nowe klucze i podpisywać moduł jądra. Tryb ten pomaga również w rejestracji wygenerowanych kluczy w UEFI.

1.Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:

/opt/eset/efs/lib/install_scripts/sign_modules.sh

2.Gdy skrypt wyświetli monit o naciśnięcie klawiszy, wpisz N, a następnie naciśnij klawisz Enter.

3.Po wyświetleniu monitu o wygenerowanie nowych kluczy wpisz Y, a następnie naciśnij klawisz Enter. Skrypt podpisuje moduł jądra za pomocą wygenerowanego klucza prywatnego.

4.Aby zarejestrować wygenerowany klucz publiczny do UEFI w sposób półautomatyczny, wpisz Y, a następnie naciśnij klawisz Enter. Aby ukończyć rejestrację ręcznie, wpisz N, naciśnij klawisz Enter i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

5.Po wyświetleniu monitu wprowadź wybrane hasło. Zapamiętaj je, ponieważ będzie potrzebne do ukończenia rejestracji (zatwierdzenie Machine Owner Key [MOK]) w UEFI.

6.Aby zapisać wygenerowane klucze na dysku twardym w celu ich późniejszego użycia, wpisz Y, wprowadź ścieżkę do katalogu i naciśnij klawisz Enter.

7.Aby ponownie uruchomić komputer i uzyskać dostęp do UEFI, wpisz Y po wyświetleniu monitu, a następnie naciśnij klawisz Enter.

8.Naciśnij dowolny klawisz w ciągu 10 sekund od wyświetlenia monitu o dostęp do UEFI.

9.Wybierz pozycję Zarejestruj MOK i naciśnij klawisz Enter.

10.Naciśnij przycisk Kontynuuj, a następnie naciśnij klawisz Enter.

11.Wybierz pozycję Tak i naciśnij klawisz Enter.

12.Aby ukończyć rejestrację i ponownie uruchomić komputer, wpisz hasło z kroku 5 i naciśnij klawisz Enter.

Tryb nieinteraktywny

Użyj tego trybu, jeśli na komputerze docelowym jest dostępny klucz prywatny i publiczny.

Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCJE]

Opcje — forma skrócona

Opcje — forma długa

Opis

-d

--public-key

Ustawianie ścieżki do klucza publicznego w formacie DER używanego do podpisywania

-p

--private-key

Ustawianie ścieżki do klucza prywatnego używanego do podpisywania

-k

--kernel

Ustawianie nazwy jądra, którego moduły muszą być podpisane. Jeśli go nie podasz, bieżące jądro zostanie ustawione jako domyślnie

-a

--kernel-all

Podpisywanie (i tworzenie) modułów jądra na wszystkich istniejących jądrach zawierających nagłówki

-h

--help

Pokaż pomoc

1.Uruchom następujące polecenie z okna terminala jako użytkownik uprzywilejowany:

/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key>

Zastąp <path_to_private_key> i <path_to_public_key> ścieżką prowadzącą odpowiednio do klucza prywatnego i klucza publicznego.

2. Jeśli podany klucz publiczny nie jest jeszcze zarejestrowany w UEFI, wykonaj następujące polecenie jako użytkownik uprzywilejowany:

mokutil --import <path_to_public_key>

<path_to_public_key> represents the provided public key.

3.Uruchom ponownie komputer, uzyskaj dostęp do UEFI, wybierz pozycję Zarejestruj MOK > Kontynuuj > Tak.

Zarządzanie kilkoma urządzeniami

Załóżmy, że zarządzasz kilkoma komputerami, które używają tego samego jądra Linuksa i mają ten sam klucz publiczny zarejestrowany w UEFI. W takim przypadku można podpisać moduł jądra produktu ESSL na jednej z maszyn zawierających klucz prywatny, a następnie przenieść podpisany moduł jądra na inne komputery. Po zakończeniu podpisywania wykonaj poniższe czynności:

1.Skopiuj/wklej podpisany moduł jądra z /lib/modules/<kernel-version>/eset/efs/eset_rtp do tej samej ścieżki na komputerach docelowych.

2.Wywołaj depmod <kernel-version> na komputerach docelowych.

3.Uruchom ponownie produkt ESET Server Security for Linux na komputerze docelowym, aby zaktualizować tabelę modułów. Wykonaj następujące polecenie jako użytkownik uprzywilejowany:

systemctl restart efs

We wszystkich przypadkach należy zastąpić <kernel-version> odpowiednią wersją jądra.