Bezpieczny rozruch
Aby korzystać z ochrony systemu plików w czasie rzeczywistym na komputerze z włączonym bezpiecznym rozruchem, moduł jądra produktu ESET Server Security for Linux (ESSL) musi być podpisany przy użyciu klucza prywatnego. Odpowiedni klucz publiczny musi zostać zaimportowany do UEFI. Program ESSL w wersji 8 jest wyposażony we wbudowany skrypt podpisywania, który działa w trybie interaktywnym lub nieinteraktywnym.
Użyj narzędzia mokutil, aby sprawdzić, czy na urządzeniu włączony jest bezpieczny rozruch. Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
mokutil --sb-state |
Tryb interaktywny
Jeśli nie posiadasz klucza publicznego lub prywatnego do podpisania modułu jądra, tryb interaktywny może generować nowe klucze i podpisywać moduł jądra. Tryb ten pomaga również w rejestracji wygenerowanych kluczy w UEFI.
1.Wykonaj następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/efs/lib/install_scripts/sign_modules.sh |
2.Gdy skrypt wyświetli monit o naciśnięcie klawiszy, wpisz N, a następnie naciśnij klawisz Enter.
3.Po wyświetleniu monitu o wygenerowanie nowych kluczy wpisz Y, a następnie naciśnij klawisz Enter. Skrypt podpisuje moduł jądra za pomocą wygenerowanego klucza prywatnego.
4.Aby zarejestrować wygenerowany klucz publiczny do UEFI w sposób półautomatyczny, wpisz Y, a następnie naciśnij klawisz Enter. Aby ukończyć rejestrację ręcznie, wpisz N, naciśnij klawisz Enter i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
5.Po wyświetleniu monitu wprowadź wybrane hasło. Zapamiętaj je, ponieważ będzie potrzebne do ukończenia rejestracji (zatwierdzenie Machine Owner Key [MOK]) w UEFI.
6.Aby zapisać wygenerowane klucze na dysku twardym w celu ich późniejszego użycia, wpisz Y, wprowadź ścieżkę do katalogu i naciśnij klawisz Enter.
7.Aby ponownie uruchomić komputer i uzyskać dostęp do UEFI, wpisz Y po wyświetleniu monitu, a następnie naciśnij klawisz Enter.
8.Naciśnij dowolny klawisz w ciągu 10 sekund od wyświetlenia monitu o dostęp do UEFI.
9.Wybierz pozycję Zarejestruj MOK i naciśnij klawisz Enter.
10.Naciśnij przycisk Kontynuuj, a następnie naciśnij klawisz Enter.
11.Wybierz pozycję Tak i naciśnij klawisz Enter.
12.Aby ukończyć rejestrację i ponownie uruchomić komputer, wpisz hasło z kroku 5 i naciśnij klawisz Enter.
Tryb nieinteraktywny
Użyj tego trybu, jeśli na komputerze docelowym jest dostępny klucz prywatny i publiczny.
Syntax: /opt/eset/efs/lib/install_scripts/sign_modules.sh[OPCJE]
Opcje — forma skrócona |
Opcje — forma długa |
Opis |
---|---|---|
-d |
--public-key |
Ustawianie ścieżki do klucza publicznego w formacie DER używanego do podpisywania |
-p |
--private-key |
Ustawianie ścieżki do klucza prywatnego używanego do podpisywania |
-k |
--kernel |
Ustawianie nazwy jądra, którego moduły muszą być podpisane. Jeśli go nie podasz, bieżące jądro zostanie ustawione jako domyślnie |
-a |
--kernel-all |
Podpisywanie (i tworzenie) modułów jądra na wszystkich istniejących jądrach zawierających nagłówki |
-h |
--help |
Pokaż pomoc |
1.Uruchom następujące polecenie z okna terminala jako użytkownik uprzywilejowany:
/opt/eset/efs/lib/install_scripts/sign_modules.sh -p <path_to_private_key> -d <path_to_public_key> |
Zastąp <path_to_private_key> i <path_to_public_key> ścieżką prowadzącą odpowiednio do klucza prywatnego i klucza publicznego.
2. Jeśli podany klucz publiczny nie jest jeszcze zarejestrowany w UEFI, wykonaj następujące polecenie jako użytkownik uprzywilejowany:
mokutil --import <path_to_public_key> |
<path_to_public_key> represents the provided public key.
3.Uruchom ponownie komputer, uzyskaj dostęp do UEFI, wybierz pozycję Zarejestruj MOK > Kontynuuj > Tak.
Zarządzanie kilkoma urządzeniami
Załóżmy, że zarządzasz kilkoma komputerami, które używają tego samego jądra Linuksa i mają ten sam klucz publiczny zarejestrowany w UEFI. W takim przypadku można podpisać moduł jądra produktu ESSL na jednej z maszyn zawierających klucz prywatny, a następnie przenieść podpisany moduł jądra na inne komputery. Po zakończeniu podpisywania wykonaj poniższe czynności:
1.Skopiuj/wklej podpisany moduł jądra z /lib/modules/<kernel-version>/eset/efs/eset_rtp do tej samej ścieżki na komputerach docelowych.
2.Wywołaj depmod <kernel-version> na komputerach docelowych.
3.Uruchom ponownie produkt ESET Server Security for Linux na komputerze docelowym, aby zaktualizować tabelę modułów. Wykonaj następujące polecenie jako użytkownik uprzywilejowany:
systemctl restart efs |
We wszystkich przypadkach należy zastąpić <kernel-version> odpowiednią wersją jądra.