Overzicht #

RELIANOID Enterprise Edition biedt volledige ondersteuning UEFI Secure Boot via de standaard Linux vulplaatje + MOK (Machine Owner Key) mechanisme.

Vanwege de manier waarop het Secure Boot-vertrouwen op firmwareniveau wordt vastgesteld, Secure Boot kan niet worden ingeschakeld bij de eerste installatie.Een kort, gecontroleerd bootstrap-proces is vereist.

Dit artikel legt de aanbevolen en ondersteunde procedure om Secure Boot in te schakelen op RELIANOID Enterprise Edition-systemen.

Belangrijke ontwerpoverwegingen #

Er moet een Secure Boot-vertrouwensrelatie tot stand worden gebracht voordat de klant de aanpassing kan uitvoeren. RELIANOID De kernel kan opstarten.

Om deze reden:

• Het systeem Het systeem moet eerst worden geïnstalleerd met EFI-ondersteuning, maar met Secure Boot uitgeschakeld.
• Na installatie, de RELIANOID Het Secure Boot-certificaat is geregistreerd.
• Secure Boot wordt vervolgens ingeschakeld in de firmware.

Dit is verwacht, veilig en conform gedrag, in lijn met de UEFI- en shim-beveiligingsvereisten.

Voorwaarden #

• RELIANOID Enterprise Edition geïnstalleerd
• Het systeem start op in UEFI-modus.
• Secure Boot is tijdens de eerste installatie in de firmware uitgeschakeld.
• Consoletoegang beschikbaar (lokale of externe IPMI/iDRAC/iLO)
• Geïnstalleerde gereedschappen mokutil en sbsigntool in elke RELIANOID Load balancer met

  apt installeer mokutil sbsigntool

• RELIANOID Het Secure Boot-certificaat is al geïnstalleerd op: /usr/local/relianoid/share/secureboot/cert-mok.der (beschikbaar >= RELIANOID EE v8.5)

Stap 1 — Installeren RELIANOID met EFI (Secure Boot uitgeschakeld) #

Firmware configureren voor:

• UEFI-opstartmodus
• Secure Boot uitgeschakeld

Installeer vervolgens RELIANOID Normaal gesproken de Enterprise-editie.

Start tot slot het systeem op en controleer de EFI-modus met het volgende commando:

[ -d /sys/firmware/efi ] && echo "UEFI-modus bevestigd"

Stap 2 — Het podium voorbereiden RELIANOID MOK-certificaat #

RELIANOID Biedt een vooraf geïnstalleerd Secure Boot-certificaat dat in shim moet worden geregistreerd.

Voer de volgende opdracht uit als wortel:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Wachtwoordprompt #

U wordt gevraagd een instelling te configureren eenmalig inschrijfwachtwoord:

Voer het wachtwoord in: (eenmalig wachtwoord invoeren) Voer het wachtwoord opnieuw in: (eenmalig wachtwoord opnieuw invoeren)

Dit wachtwoord is tijdelijk en zal slechts eenmaal tijdens de inschrijving worden gebruikt.

Let op: bewaar dit wachtwoord goed, want u hebt het nodig bij de volgende herstart.

Bevestig je inschrijving in behandeling #

Bevestig met het commando:

mokutil --list-new

Stap 3 — Herstart en registreer de MOK in Shim #

Start het systeem opnieuw op met het commando:

opnieuw op te starten

Tijdens het opstarten, voordat het besturingssysteem wordt geladen MOK-manager (shim-interface) zal verschijnen.

Aanmeldingsprocedure #

1. kies Schrijf je in bij MOK

   

2. Bekijk sleutel

   

3. kies Doorgaan

   

4. kies Ja

   

5. Voer het wachtwoord in dat u in stap 2 hebt gekozen.
6. Bevestigen en opnieuw opstarten

   

Deze actie zorgt voor een permanente inschrijving. RELIANOID Beveiligd opstartcertificaat in de MOK-database van het systeem.

Stap 4 — Controleer de MOK-inschrijving #

Controleer na een succesvolle herstart van het systeem of het certificaat is geregistreerd:

mokutil --list-ingeschreven | grep RELIANOID

Je zou een vermelding moeten zien die lijkt op:

Stap 5 — Schakel Secure Boot in de firmware in. #

1. Start het systeem opnieuw op
2. Ga naar de firmware-instellingen (BIOS/UEFI).
3. Enable Beveiligd Opstarten
4. Opslaan en afsluiten

Stap 6 — Eindcontrole #

Zodra Secure Boot is ingeschakeld, start de computer op. RELIANOID en bevestig de Secure Boot-status:

mokutil --sb-state

Verwachte resultaten:

SecureBoot ingeschakeld

Op dit punt:

• Het RELIANOID De kernel wordt vertrouwd
• De opstartprocedure is volledig gevalideerd.
• Secure Boot is operationeel.

Problemen oplossen #

Secure Boot is ingeschakeld, maar het systeem start niet op. #

• Zorg ervoor dat de RELIANOID pit > = 6.1.159 was geladen met uname -r
• Controleren RELIANOID Certificaatinschrijving met mokutil --list-enrolled | grep RELIANOID
• Controleer of het systeem opstart via shim (niet rechtstreeks via GRUB).

Het MOK Manager-scherm verschijnt niet. #

• Verzekeren Beveiligd Opstarten was uitgeschakeld tijdens de inschrijving
• Voer de opdracht opnieuw uit mokutil --import commando
• Controleer of de console zichtbaar is tijdens het opnieuw opstarten.

Beveiligingsnotities #

• MOK-inschrijving kan niet geautomatiseerd worden zonder gebruikersbevestiging.
• Dit gedrag wordt afgedwongen door UEFI Secure Boot en shim.
• Het voorkomt dat ongeautoriseerde sleutels stilletjes worden vertrouwd.

Dit proces voldoet aan:

• UEFI Secure Boot-specificaties
• Linux shim-beveiligingsmodel
• Aanbevelingen voor Enterprise Secure Boot

Een MOK-certificaat uit het systeem verwijderen. #

Een eerder ingeschreven RELIANOID Het verwijderen van de Machine Owner Key (MOK) kan worden gepland met behulp van de volgende opdracht:

mokutil --verwijder /usr/local/relianoid/share/secureboot/cert-mok.der

Na het uitvoeren van dit commando:

1. U wordt gevraagd een eenmalig wachtwoord in te stellen.
2. Start het systeem opnieuw op
3. Het MOK Manager (shim) scherm verschijnt tijdens het opstarten.
4. kies Verwijder MOK
5. Bevestig de verwijdering met het wachtwoord dat u hebt opgegeven.

Zodra het proces is voltooid, wordt het certificaat permanent verwijderd uit de MOK-database van het systeem en worden binaire bestanden die met die sleutel zijn ondertekend, niet langer vertrouwd onder Secure Boot.

Belangrijk: Voor deze bewerking moet Secure Boot zijn ingeschakeld en is fysieke toegang of consoletoegang vereist om de bevestiging tijdens het opnieuw opstarten te voltooien.