보안 부팅 구성 RELIANOID Enterprise Edition

  • 블로그
  • 보안 부팅 구성 RELIANOID Enterprise Edition

기술 자료

사이트 안정성 경험

카테고리 보기

보안 부팅 구성 RELIANOID Enterprise Edition

4 분 읽음

차례

회사 개요 #

RELIANOID 엔터프라이즈 에디션은 모든 기능을 완벽하게 지원합니다. UEFI 보안 부팅 표준 리눅스를 통해 심 + MOK(기계 소유자 키) 기구.

보안 부팅 신뢰가 펌웨어 수준에서 설정되는 방식 때문에, 최초 설치 시에는 보안 부팅을 활성화할 수 없습니다.짧고 통제된 부트스트랩 프로세스가 필요합니다.

이 기사에서는 권장 및 지원되는 절차 보안 부팅을 활성화하려면 RELIANOID 엔터프라이즈 에디션 시스템.

중요한 설계 고려 사항 #

사용자 정의를 수행하기 전에 보안 부팅 신뢰 관계가 설정되어야 합니다. RELIANOID 커널이 부팅될 수 있습니다.

이러한 이유로:

  • 시스템 먼저 EFI 지원이 활성화된 상태로 설치하되, 보안 부팅(Secure Boot)은 비활성화해야 합니다.
  • 설치 후, RELIANOID 보안 부트 인증서가 등록되었습니다.
  • 그러면 펌웨어에서 보안 부팅이 활성화됩니다.

이것은 예상 가능하고 안전하며 규정을 준수하는 동작UEFI 및 shim 보안 요구 사항에 맞춰 조정되었습니다.

사전 조건 #

  • RELIANOID 엔터프라이즈 에디션이 설치되었습니다.
  • 시스템이 UEFI 모드로 부팅 중
  • 초기 설치 시 펌웨어에서 보안 부팅이 비활성화됩니다.
  • 콘솔 접속 가능 (로컬 또는 원격 IPMI/iDRAC/iLO)
  • 도구 설치됨 모쿠틸 sbsigntool 매번 RELIANOID 로드 밸런싱 기능 포함 
    적절한 설치 mokutil sbsigntool
  • RELIANOID 보안 부팅 인증서가 다음 위치에 이미 설치되어 있습니다. /usr/local/relianoid/share/secureboot/cert-mok.der (사용 가능 >= RELIANOID EE v8.5)

1단계 — 설치 RELIANOID EFI(보안 부팅 비활성화됨) 사용 #

펌웨어 구성:

  • UEFI 부팅 모드
  • 보안 부팅이 비활성화되었습니다.

그런 다음 설치하십시오. RELIANOID 엔터프라이즈 에디션은 일반적으로 그렇습니다.

마지막으로 시스템을 부팅하고 다음 명령어를 사용하여 EFI 모드인지 확인하십시오.

[ -d /sys/firmware/efi ] && echo "UEFI 모드가 확인되었습니다"

2단계 — 무대 설치 RELIANOID MOK 인증서 #

RELIANOID 미리 설치된 보안 부팅 인증서를 제공하며, 이 인증서는 shim에 등록되어야 합니다.

다음 명령어를 실행하세요. 뿌리:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

비밀번호 프롬프트 #

설정하라는 요청을 받게 됩니다. 일회용 등록 비밀번호:

비밀번호를 입력하세요: (일회용 비밀번호를 입력하세요) 비밀번호를 다시 입력하세요: (일회용 비밀번호를 다시 입력하세요)

이 비밀번호는 일시적인 등록 기간 동안 한 번만 사용됩니다.

참고: 이 암호를 잘 보관하십시오. 다음 재부팅 시 필요합니다.

등록 예정 사항을 확인하세요 #

다음 명령어로 확인하세요:

mokutil --list-new

3단계 — 재부팅 후 MOK를 shim에 등록합니다. #

다음 명령어를 사용하여 시스템을 재부팅하십시오.

재부팅

부팅 중에 운영 체제가 로드되기 전에 밸리 MOK 매니저 (심 인터페이스)가 나타납니다.

등록 단계 #

  1. 클라임웍스와 함께 하늘과 닿는 여정을 시작하세요 MOK에 등록하세요

    relianoid_secure_boot_enroll_mok

  2. 보기 키

    relianoid_secure_boot_view_key

  3. 클라임웍스와 함께 하늘과 닿는 여정을 시작하세요 계속

    relianoid_secure_boot_enroll_mok_continue

  4. 클라임웍스와 함께 하늘과 닿는 여정을 시작하세요 가능

    relianoid_secure_boot_enroll_mok_confirm

  5. 2단계에서 선택한 비밀번호를 입력하세요.
  6. 확인 후 재부팅하세요

    relianoid_secure_boot_enroll_mok_reboot

이 조치는 영구적으로 등록됩니다. RELIANOID 보안 부트 인증서 시스템의 MOK 데이터베이스에 입력합니다.

4단계 — MOK 등록 확인 #

시스템이 성공적으로 재부팅되면 인증서가 등록되었는지 확인하십시오.

mokutil --목록 등록 | grep RELIANOID

다음과 유사한 항목이 표시될 것입니다.

relianoid_secure_boot_mok_list_enrolled

5단계 — 펌웨어에서 보안 부팅 활성화 #

  1. 시스템을 재부팅하십시오.
  2. 펌웨어(BIOS/UEFI) 설정으로 들어갑니다.
  3. 사용 안전 부팅
  4. 저장 및 종료

6단계 — 최종 확인 #

보안 부팅이 활성화되면 부팅하십시오. RELIANOID 보안 부팅 상태를 확인합니다.

mokutil --sb-state

예상 출력 :

SecureBoot가 활성화됨

이 시점에서:

  • The RELIANOID 커널이 신뢰할 수 있습니다
  • 부트 체인이 완벽하게 검증되었습니다.
  • 보안 부팅이 작동 중입니다.

문제해결 #

보안 부팅이 활성화되었지만 시스템이 부팅되지 않습니다. #

  • 보장 RELIANOID 커널 > = 6.1.159 가득 실려 있었다 uname -r
  • 확인 RELIANOID 자격증 등록 mokutil --list-enrolled | grep RELIANOID
  • 시스템이 shim을 통해 부팅되는지 (GRUB에 직접 부팅되지 않는지) 확인하십시오.

MOK Manager 화면이 나타나지 않습니다. #

  • 확인 안전 부팅 등록 중에 비활성화되었습니다.
  • 다시 실행하세요 mokutil --import 명령
  • 재부팅 중 콘솔 표시 여부를 확인합니다.

보안 메모 #

  • 사용자 확인 없이는 MOK 등록을 자동화할 수 없습니다.
  • 이러한 동작은 UEFI 보안 부팅 및 shim에 의해 강제됩니다.
  • 이는 승인되지 않은 키가 자동으로 신뢰되는 것을 방지합니다.

이 프로세스는 다음 사항을 준수합니다.

  • UEFI 보안 부팅 사양
  • 리눅스 shim 보안 모델
  • 엔터프라이즈 보안 부팅 모범 사례

시스템에서 MOK 인증서를 제거합니다. #

이전에 등록한 RELIANOID 다음 명령어를 사용하여 기기 소유자 키(MOK) 제거 일정을 예약할 수 있습니다.

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

이 명령을 실행한 후:

  1. 일회용 비밀번호를 설정하라는 메시지가 표시됩니다.
  2. 시스템을 재부팅하십시오.
  3. 부팅 중에 MOK 관리자(shim) 화면이 나타납니다.
  4. 클라임웍스와 함께 하늘과 닿는 여정을 시작하세요 MOK 삭제
  5. 설정한 비밀번호를 사용하여 삭제를 확인하세요.

완료되면 해당 인증서는 시스템의 MOK 데이터베이스에서 영구적으로 제거되며, 해당 키로 서명된 바이너리는 보안 부팅 환경에서 더 이상 신뢰되지 않습니다.

중요: 이 작업을 수행하려면 보안 부팅이 활성화되어 있어야 하며, 재부팅 중 확인을 완료하기 위해 물리적 또는 콘솔 접근 권한이 필요합니다.

📄 이 문서를 PDF 형식으로 다운로드하세요 #

    이메일 : *

    에 의해 구동 더 나은 문서