Turvalise alglaadimise seadistamine RELIANOID Enterprise Edition

  • Blogi
  • Turvalise alglaadimise seadistamine RELIANOID Enterprise Edition

Alusteadmised

Saidi töökindluse kogemus

Vaata kategooriaid

Turvalise alglaadimise seadistamine RELIANOID Enterprise Edition

4 min lugeda

Sisukord

Ülevaade #

RELIANOID Ettevõtte versioon toetab täielikult UEFI turvaline alglaadimine tavalise Linuxi kaudu vahetükk + MOK (masina omaniku võti) mehhanism.

Tulenevalt sellest, kuidas turvalise alglaadimise usaldus püsivara tasemel luuakse, Turvalist käivitust ei saa esimesel installimisel lubadaVajalik on lühike ja kontrollitud alglaadimisprotsess.

See artikkel selgitab soovitatav ja toetatud protseduur turvalise alglaadimise lubamiseks RELIANOID Ettevõtte väljaande süsteemid.

Oluline disainikaalutlus #

Enne kohandamist tuleb luua turvalise alglaadimise usaldus RELIANOID kernel saab käivituda.

Sel põhjusel:

  • Süsteem tuleb esmalt installida EFI toega, kuid turvalise alglaadimise keelamisega
  • Pärast paigaldamist, RELIANOID Turvalise alglaadimise sertifikaat on registreeritud
  • Seejärel on turvaline alglaadimine püsivaras lubatud.

See on oodatav, turvaline ja nõuetele vastav käitumine, mis on kooskõlas UEFI ja shim-turbenõuetega.

Eeldused #

  • RELIANOID Ettevõtte versioon on installitud
  • Süsteemi käivitamine UEFI-režiimis
  • Turvaline alglaadimine on püsivaras esmase installimise ajal keelatud
  • Konsooli ligipääs saadaval (kohalik või kaugjuurdepääs IPMI/iDRAC/iLO)
  • Paigaldatud tööriistad mokutil ja sbsigntool igas RELIANOID Koormuse tasakaalustaja koos 
    apt install mokutil sbsigntool
  • RELIANOID Turvalise alglaadimise sertifikaat on juba installitud aadressile: /usr/local/relianoid/share/secureboot/cert-mok.der (saadaval >= RELIANOID EE v8.5)

1. samm – paigaldamine RELIANOID EFI-ga (turvaline alglaadimine keelatud) #

Konfigureeri püsivara:

  • UEFI käivitusrežiim
  • Turvaline alglaadimine on keelatud

Seejärel installige RELIANOID Tavaliselt ettevõtte versioon.

Lõpuks käivitage süsteem ja kontrollige EFI-režiimi käsuga:

[ -d /sys/firmware/efi ] && echo "UEFI režiim kinnitatud"

2. samm – lavasta RELIANOID MOK-sertifikaat #

RELIANOID pakub eelinstallitud turvalise alglaadimise sertifikaati, mis tuleb shim-i registreerida.

Käivita järgmine käsk järgmiselt: juur:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Parooli viip #

Teil palutakse määrata ühekordne registreerimisparool:

sisesta parool: (sisesta ühekordne parool) sisesta parool uuesti: (sisesta ühekordne parool uuesti)

See parool on ajutine ja seda kasutatakse registreerimise ajal ainult üks kord.

Märkus. Hoidke see parool käepärast – seda on vaja järgmisel taaskäivitamisel.

Kinnitage ootel registreerimine #

Kinnitage käsuga:

mokutil --list-new

3. samm – taaskäivitage ja registreerige MOK shim'i #

Taaskäivitage süsteem käsuga:

reboot

Käivitamise ajal enne operatsioonisüsteemi laadimist, MOK-i juht (vaheliides) ilmub.

Registreerimise etapid #

  1. valima Registreeru MOK-i

    relianoid_secure_boot_enroll_mok

  2. Vaatevõti

    relianoid_secure_boot_view_key

  3. valima jätkama

    relianoid_secure_boot_enroll_mok_continue

  4. valima Jah

    relianoid_secure_boot_enroll_mok_confirm

  5. Sisestage 2. etapis valitud parool
  6. Kinnita ja taaskäivita

    relianoid_secure_boot_enroll_mok_reboot

See toiming registreerib jäädavalt RELIANOID Turvalise alglaadimise sertifikaat süsteemi MOK andmebaasi.

4. samm – MOK-i registreerimise kinnitamine #

Pärast süsteemi edukat taaskäivitamist kontrollige, kas sertifikaat on registreeritud:

mokutil --list-enrolled | grep RELIANOID

Sa peaksid nägema sarnast kirjet:

relianoid_secure_boot_mok_list_enrolled

5. samm – lubage püsivaras turvaline alglaadimine #

  1. Reboot süsteemi
  2. Sisestage püsivara (BIOS/UEFI) seadistus
  3. Võimaldama Secure Boot
  4. Salvesta ja välju

6. samm – Lõplik kontrollimine #

Kui turvaline alglaadimine on lubatud, käivitage RELIANOID ja kinnitage turvalise alglaadimise olekut:

mokutil --sb-olek

Oodatav väljund:

Turvaline käivitamine lubatud

Sel hetkel:

  • . RELIANOID kernel on usaldusväärne
  • Saapaket on täielikult valideeritud
  • Turvaline alglaadimine töötab

Probleemid #

Turvaline alglaadimine on lubatud, kuid süsteem ei käivitu #

  • Veenduge RELIANOID tuum > = 6.1.159 oli koormatud uname -r
  • Kontrollima RELIANOID Sertifikaadi registreerimine koos mokutil --list-enrolled | grep RELIANOID
  • Kinnitage süsteemi käivitumine shim-i kaudu (mitte otse GRUB-i kaudu)

MOK Manageri ekraan ei ilmu #

  • Tagama Secure Boot registreerimise ajal keelati
  • Käivita uuesti mokutil --import käsk
  • Kinnitage konsooli nähtavus taaskäivitamise ajal

Väärtpaberid #

  • MOK-i registreerimist ei saa ilma kasutaja kinnituseta automatiseerida
  • Seda käitumist jõustavad UEFI Secure Boot ja shim
  • See hoiab ära volitamata võtmete vaikse usaldamise

See protsess on kooskõlas järgmisega:

  • UEFI turvalise alglaadimise spetsifikatsioonid
  • Linuxi shim-turbemudel
  • Ettevõtte turvalise alglaadimise parimad tavad

MOK-sertifikaadi eemaldamine süsteemist #

Varem registreerunud RELIANOID Masina omaniku võtme (MOK) eemaldamise ajastamiseks saab kasutada järgmist käsku:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Pärast selle käsu täitmist:

  1. Teil palutakse määrata ühekordne parool
  2. Reboot süsteemi
  3. Käivitamise ajal ilmub MOK Manageri (shim) ekraan
  4. valima Kustuta MOK
  5. Kinnitage kustutamine määratud parooliga

Pärast valmimist eemaldatakse sertifikaat jäädavalt süsteemi MOK-andmebaasist ja selle võtmega allkirjastatud binaarfaile ei usaldata enam turvalise alglaadimise all.

Tähtis: See toiming nõuab turvalise alglaadimise lubamist ning füüsilist või konsooli juurdepääsu taaskäivitamise ajal kinnituse lõpuleviimiseks.

📄 Laadige see dokument alla PDF-vormingus #

    EMAIL: *

    Linuxi poolt BetterDocs