Mengkonfigurasi But Selamat untuk RELIANOID Edisi Enterprise

  • Blog
  • Mengkonfigurasi But Selamat untuk RELIANOID Edisi Enterprise

Pangkalan Pengetahuan

Pengalaman Kebolehpercayaan Tapak

Lihat Kategori

Mengkonfigurasi But Selamat untuk RELIANOID Edisi Enterprise

Baca min 4

Jadual Kandungan

Pengenalan #

RELIANOID Edisi Perusahaan menyokong sepenuhnya UEFI Secure Boot melalui Linux standard shim + MOK (Kunci Pemilik Mesin) mekanisme.

Disebabkan bagaimana kepercayaan Secure Boot diwujudkan pada peringkat firmware, But Selamat tidak dapat diaktifkan pada pemasangan pertamaProses bootstrap yang pendek dan terkawal diperlukan.

Artikel ini menerangkan prosedur yang disyorkan dan disokong untuk mendayakan But Selamat RELIANOID Sistem Edisi Perusahaan.

Pertimbangan Reka Bentuk Penting #

Kepercayaan Secure Boot mesti diwujudkan sebelum adat RELIANOID kernel boleh boot.

Atas sebab ini:

  • Sistem ini mesti dipasang terlebih dahulu dengan sokongan EFI tetapi dengan But Selamat dinyahdayakan
  • Selepas pemasangan, RELIANOID Sijil But Selamat telah didaftarkan
  • But Selamat kemudian diaktifkan dalam firmware

Ini adalah tingkah laku yang dijangkakan, selamat dan patuh, sejajar dengan keperluan keselamatan UEFI dan shim.

Prasyarat #

  • RELIANOID Edisi Perusahaan dipasang
  • Sistem but dalam mod UEFI
  • But Selamat dilumpuhkan dalam perisian tegar semasa pemasangan awal
  • Akses konsol tersedia (IPMI/iDRAC/iLO tempatan atau jauh)
  • Alatan dipasang mokutil dan alat tandatangan sb dalam setiap RELIANOID Pengimbang Beban dengan 
    apt pasang mokutil sbsigntool
  • RELIANOID Sijil But Selamat telah dipasang di: /usr/local/relianoid/share/secureboot/cert-mok.der (tersedia >= RELIANOID EE v8.5)

Langkah 1 — Pasang RELIANOID dengan EFI (But Selamat dinyahdayakan) #

Konfigurasikan perisian tegar untuk:

  • Mod but UEFI
  • But Selamat dilumpuhkan

Kemudian, pasang RELIANOID Edisi Perusahaan biasanya.

Akhir sekali, but sistem dan sahkan mod EFI dengan arahan:

[ -d /sys/firmware/efi ] && echo "Mod UEFI disahkan"

Langkah 2 — Peringkatkan RELIANOID Sijil MOK #

RELIANOID menyediakan sijil But Selamat yang telah dipasang terlebih dahulu yang mesti didaftarkan ke dalam shim.

Jalankan arahan berikut sebagai akar:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Gesaan kata laluan #

Anda akan diminta untuk menetapkan kata laluan pendaftaran sekali sahaja:

masukkan kata laluan: (masukkan kata laluan sekali sahaja) masukkan kata laluan sekali lagi: (masukkan semula kata laluan sekali sahaja)

Kata laluan ini sementara dan hanya akan digunakan sekali sahaja semasa pendaftaran.

Nota: Pastikan kata laluan ini tersedia — ia diperlukan pada but semula seterusnya.

Sahkan pendaftaran yang belum selesai #

Sahkan dengan arahan:

mokutil --senarai-baharu

Langkah 3 — But semula dan daftarkan MOK dalam shim #

Mulakan semula sistem dengan arahan:

reboot

Semasa but, sebelum sistem pengendalian dimuatkan, yang Pengurus MOK (antara muka shim) akan muncul.

Langkah-langkah pendaftaran #

  1. pilih Daftar MOK

    relianoid_secure_boot_enroll_mok

  2. Kekunci Paparan

    kunci_pandangan_but_selamat_relianoid

  3. pilih Terus

    relianoid_secure_boot_enroll_mok_continue

  4. pilih Ya

    relianoid_secure_boot_enroll_mok_confirm

  5. Masukkan kata laluan yang dipilih dalam Langkah 2
  6. Sahkan dan but semula

    but_selamat_relianoid_daftar_mok_but semula

Tindakan ini mendaftarkan secara kekal RELIANOID Sijil But Selamat ke dalam pangkalan data MOK sistem.

Langkah 4 — Sahkan pendaftaran MOK #

Selepas sistem berjaya dihidupkan semula, sahkan bahawa sijil telah didaftarkan:

mokutil --list-enrolled | grep RELIANOID

Anda sepatutnya melihat entri yang serupa dengan:

senarai_mok_relianoid_secure_boot_enrolled

Langkah 5 — Dayakan But Selamat dalam firmware #

  1. Reboot sistem
  2. Masukkan persediaan firmware (BIOS/UEFI)
  3. enable Boot selamat
  4. Simpan dan keluar

Langkah 6 — Pengesahan akhir #

Setelah But Selamat diaktifkan, but RELIANOID dan sahkan keadaan But Selamat:

mokutil --sb-state

Output yang dijangkakan:

SecureBoot diaktifkan

Pada ketika ini:

  • . RELIANOID kernel dipercayai
  • Rantai but telah disahkan sepenuhnya
  • But Selamat sedang beroperasi

Penyelesaian masalah #

But Selamat diaktifkan tetapi sistem gagal but #

  • Memastikan RELIANOID kernel > = 6.1.159 telah dimuatkan dengan uname -r
  • Sahkan RELIANOID Pendaftaran sijil dengan mokutil --list-enrolled | grep RELIANOID
  • Sahkan sistem but melalui shim (bukan GRUB langsung)

Skrin Pengurus MOK tidak muncul #

  • Pastikan Boot selamat telah dilumpuhkan semasa pendaftaran
  • Jalankan semula mokutil --import arahan
  • Sahkan keterlihatan konsol semasa but semula

Nota Keselamatan #

  • Pendaftaran MOK tidak boleh diautomasikan tanpa pengesahan pengguna
  • Tingkah laku ini dikuatkuasakan oleh UEFI Secure Boot dan shim
  • Ia menghalang kunci yang tidak dibenarkan daripada dipercayai secara senyap

Proses ini mematuhi:

  • Spesifikasi But Selamat UEFI
  • Model keselamatan shim Linux
  • Amalan terbaik But Selamat Perusahaan

Mengeluarkan sijil MOK daripada sistem #

Seorang yang telah mendaftar sebelum ini RELIANOID Kunci Pemilik Mesin (MOK) boleh dijadualkan untuk penyingkiran menggunakan arahan berikut:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Selepas melaksanakan arahan ini:

  1. Anda akan diminta untuk menetapkan kata laluan sekali guna
  2. Reboot sistem
  3. Skrin Pengurus MOK (shim) akan muncul semasa but
  4. pilih Padam MOK
  5. Sahkan pemadaman menggunakan kata laluan yang anda tentukan

Setelah selesai, sijil tersebut akan dialih keluar secara kekal daripada pangkalan data MOK sistem dan binari yang ditandatangani dengan kunci tersebut tidak lagi akan dipercayai di bawah But Selamat.

Penting: Operasi ini memerlukan But Selamat didayakan dan akses fizikal atau konsol untuk melengkapkan pengesahan semasa but semula.

📄 Muat turun dokumen ini dalam format PDF #

    E-MEL: *

    Dikuasai oleh BetterDocs