Konfiguration af sikker opstart til RELIANOID Enterprise Edition

  • Blog
  • Konfiguration af sikker opstart til RELIANOID Enterprise Edition

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Konfiguration af sikker opstart til RELIANOID Enterprise Edition

4 min læses

Indholdsfortegnelse

Oversigt #

RELIANOID Enterprise Edition understøtter fuldt ud UEFI Secure Boot gennem standard Linux shim + MOK (Maskinejernøgle) mekanisme.

På grund af hvordan Secure Boot-tillid etableres på firmwareniveau, Sikker opstart kan ikke aktiveres ved første installationEn kort, kontrolleret bootstrap-proces er påkrævet.

Denne artikel forklarer anbefalet og understøttet procedure for at aktivere sikker opstart RELIANOID Enterprise Edition-systemer.

Vigtig designovervejelse #

Sikker opstartssikkerhed skal etableres før den brugerdefinerede RELIANOID kernen kan boote.

Af denne grund:

  • Systemet skal først installeres med EFI-understøttelse, men med Secure Boot deaktiveret
  • Efter installationen RELIANOID Secure Boot-certifikatet er tilmeldt
  • Sikker opstart aktiveres derefter i firmwaren

Dette er forventet, sikker og kompatibel adfærd, i overensstemmelse med UEFI- og shim-sikkerhedskrav.

Forudsætninger #

  • RELIANOID Enterprise Edition installeret
  • Systemopstart i UEFI-tilstand
  • Sikker opstart deaktiveret i firmware under den første installation
  • Konsoladgang tilgængelig (lokal eller fjern IPMI/iDRAC/iLO)
  • Installerede værktøjer mokutil og sbsigntool i hver RELIANOID Load Balancer med 
    apt installer mokutil sbsigntool
  • RELIANOID Secure Boot-certifikatet er allerede installeret på: /usr/local/relianoid/share/secureboot/cert-mok.der (tilgængelig >= RELIANOID EE v8.5)

Trin 1 — Installer RELIANOID med EFI (sikker opstart deaktiveret) #

Konfigurer firmware til:

  • UEFI-opstartstilstand
  • Sikker opstart deaktiveret

Installer derefter RELIANOID Normalt Enterprise Edition.

Til sidst skal du starte systemet og verificere EFI-tilstand med kommandoen:

[ -d /sys/firmware/efi ] && echo "UEFI-tilstand bekræftet"

Trin 2 — Iscenesæt RELIANOID MOK-certifikat #

RELIANOID leverer et forudinstalleret Secure Boot-certifikat, der skal tilmeldes shim.

Kør følgende kommando som rod:

mokutil --ignore-nøglering --import /usr/local/relianoid/share/secureboot/cert-mok.der

Adgangskode prompt #

Du vil blive bedt om at indstille en engangstilmeldingsadgangskode:

indtast adgangskode: (indsæt engangsadgangskode) indtast adgangskode igen: (indsæt engangsadgangskode igen)

Denne adgangskode er midlertidig og vil kun blive brugt én gang under tilmeldingen.

Bemærk: Sørg for, at denne adgangskode er tilgængelig – den er påkrævet ved næste genstart.

Bekræft ventende tilmelding #

Bekræft med kommandoen:

mokutil --list-new

Trin 3 — Genstart og tilmeld MOK'en i shim #

Genstart systemet med kommandoen:

genstarte

Under opstart, før operativsystemet indlæses, MOK-chef (shim-grænseflade) vil vises.

Tilmeldingstrin #

  1. Type Tilmeld MOK

    relianoid_secure_boot_enroll_mok

  2. Vis nøgle

    relianoid_secure_boot_view_key

  3. Type Fortsæt.

    relianoid_secure_boot_enroll_mok_continue

  4. Type Ja

    relianoid_secure_boot_enroll_mok_confirm

  5. Indtast den adgangskode, der blev valgt i trin 2
  6. Bekræft og genstart

    relianoid_secure_boot_enroll_mok_reboot

Denne handling tilmelder permanent RELIANOID Sikker opstartscertifikat i systemets MOK-database.

Trin 4 — Bekræft MOK-tilmelding #

Når systemet er genstartet, skal du kontrollere, at certifikatet er tilmeldt:

mokutil --liste-tilmeldt | grep RELIANOID

Du burde se en post der ligner:

relianoid_secure_boot_mok_list_enrolled

Trin 5 — Aktivér sikker opstart i firmwaren #

  1. Genstart systemet
  2. Gå ind i firmwareopsætningen (BIOS/UEFI)
  3. Aktiver Sikker Boot
  4. Gem og luk

Trin 6 — Endelig verifikation #

Når Sikker opstart er aktiveret, skal du starte RELIANOID og bekræft Sikker opstartstilstand:

mokutil --sb-stat

Forventet output:

SecureBoot aktiveret

På dette tidspunkt:

  • RELIANOID kernen er betroet
  • Støvlekæden er fuldt valideret
  • Sikker opstart er operationel

Fejlfinding #

Sikker opstart aktiveret, men systemet kan ikke starte #

  • Sørg for, at RELIANOID kerne > = 6.1.159 var læsset med uname -r
  • Bekræft RELIANOID Certifikattilmelding med mokutil --list-enrolled | grep RELIANOID
  • Bekræft at systemet starter op via shim (ikke direkte GRUB)

MOK Manager-skærmen vises ikke #

  • Sørg Sikker Boot blev deaktiveret under tilmeldingen
  • Kør igen mokutil --import kommando
  • Bekræft konsolsynlighed under genstart

Sikkerhedsanvisninger #

  • MOK-tilmelding kan ikke automatiseres uden brugerbekræftelse
  • Denne adfærd håndhæves af UEFI Secure Boot og shim
  • Det forhindrer, at uautoriserede nøgler stilles til rådighed

Denne proces er i overensstemmelse med:

  • UEFI Secure Boot-specifikationer
  • Linux shim-sikkerhedsmodel
  • Bedste praksis for sikker opstart i virksomheder

Fjernelse af et MOK-certifikat fra systemet #

En tidligere tilmeldt RELIANOID Maskinejernøgle (MOK) kan planlægges til fjernelse ved hjælp af følgende kommando:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Efter at have udført denne kommando:

  1. Du vil blive bedt om at oprette en engangsadgangskode
  2. Genstart systemet
  3. MOK Manager-skærmen (shim) vises under opstart
  4. Type Slet MOK
  5. Bekræft sletningen med den adgangskode, du har angivet

Når det er færdigt, fjernes certifikatet permanent fra systemets MOK-database, og binære filer signeret med den pågældende nøgle vil ikke længere være tillid til under Sikker opstart.

Vigtigt: Denne handling kræver, at Sikker opstart er aktiveret, og at der er fysisk adgang eller adgang til konsollen for at fuldføre bekræftelsen under genstart.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs