Visão geral #

RELIANOID A Enterprise Edition oferece suporte completo. Boot Seguro UEFI através do Linux padrão calço + MOK (Chave do Proprietário da Máquina) mecanismo.

Devido à forma como a confiança do Secure Boot é estabelecida no nível do firmware, A inicialização segura não pode ser ativada na primeira instalação.É necessário um processo de inicialização curto e controlado.

Este artigo explica o Procedimento recomendado e apoiado para ativar a Inicialização Segura em RELIANOID Sistemas da Edição Empresarial.

Considerações importantes de projeto #

A confiança do Secure Boot deve ser estabelecida antes da configuração personalizada. RELIANOID O kernel pode inicializar.

Por esta razão:

• O sistema Primeiro, deve ser instalado com suporte a EFI, mas com a Inicialização Segura desativada.
• Após a instalação, o RELIANOID O certificado de Inicialização Segura está registrado.
• A inicialização segura é então ativada no firmware.

Isto é comportamento esperado, seguro e em conformidade, em conformidade com os requisitos de segurança UEFI e shim.

Pré-requisitos #

• RELIANOID Edição Enterprise instalada
• Inicialização do sistema em modo UEFI
• A inicialização segura é desativada no firmware durante a instalação inicial.
• Acesso ao console disponível (IPMI/iDRAC/iLO local ou remoto)
• Ferramentas instaladas mokutil e sbsigntool em tudo RELIANOID Balanceador de carga com

  apto instalar mokutil sbsigntool

• RELIANOID O certificado de Inicialização Segura já está instalado em: /usr/local/relianoid/share/secureboot/cert-mok.der (disponível >= RELIANOID EE v8.5)

Passo 1 — Instalar RELIANOID Com EFI (Inicialização Segura desativada) #

Configurar firmware para:

• modo de inicialização UEFI
• Inicialização segura desativada

Então, instale RELIANOID Normalmente, é a versão Enterprise.

Por fim, inicialize o sistema e verifique o modo EFI com o comando:

[ -d /sys/firmware/efi ] && echo "Modo UEFI confirmado"

Etapa 2 — Preparar o cenário RELIANOID Certificado MOK #

RELIANOID Fornece um certificado Secure Boot pré-instalado que deve ser registrado no shim.

Execute o seguinte comando como raiz:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Solicitação de senha #

Você será solicitado a definir um senha de inscrição única:

Digite a senha: (insira a senha de uso único) Digite a senha novamente: (insira novamente a senha de uso único)

Esta senha é temporário e será utilizado apenas uma vez durante a matrícula.

Nota: Guarde esta senha — ela será necessária na próxima reinicialização.

Confirme a matrícula pendente #

Confirme com o comando:

mokutil --list-new

Etapa 3 — Reinicie e inscreva o MOK no shim. #

Reinicie o sistema com o comando:

reinicialização

Durante a inicialização, antes do carregamento do sistema operacional, Gerente MOK (interface de encaixe) aparecerá.

Etapas de inscrição #

1. Selecionar Inscreva-se no MOK

   

2. Exibir chave

   

3. Selecionar Continuar

   

4. Selecionar Sim

   

5. Digite a senha escolhida na Etapa 2.
6. Confirme e reinicie.

   

Esta ação inscreve permanentemente o RELIANOID Certificado de Inicialização Segura no banco de dados MOK do sistema.

Etapa 4 — Verificar inscrição no MOK #

Após o sistema reiniciar com sucesso, verifique se o certificado foi registrado:

mokutil --list-inscrito | grep RELIANOID

Você deverá ver uma entrada semelhante a esta:

Etapa 5 — Ativar a Inicialização Segura no firmware #

1. Reinicie o sistema
2. Acesse a configuração do firmware (BIOS/UEFI)
3. Permitir seguro Bota
4. Salvar e sair

Etapa 6 — Verificação final #

Após ativar a Inicialização Segura, inicialize RELIANOID e confirme o estado da Inicialização Segura:

mokutil --sb-state

Saída esperada:

Inicialização segura ativada

Neste ponto:

• As RELIANOID O kernel é confiável.
• A cadeia de inicialização está totalmente validada.
• A inicialização segura está operacional.

guia de solução de problemas #

A inicialização segura está ativada, mas o sistema não inicializa. #

• Garantir a RELIANOID núcleo > = 6.1.159 estava carregado com uname -r
• verificar RELIANOID Inscrição para certificação com mokutil --list-enrolled | grep RELIANOID
• Confirme se o sistema inicializa através do shim (e não diretamente pelo GRUB).

A tela do Gerenciador MOK não aparece. #

• Garantir seguro Bota foi desativado durante a matrícula
• Execute novamente o mokutil --import comando
• Confirme a visibilidade do console durante a reinicialização.

Notas de segurança #

• O cadastro no MOK não pode ser automatizado sem a confirmação do usuário.
• Esse comportamento é imposto pelo UEFI Secure Boot e pelo shim.
• Isso impede que chaves não autorizadas sejam confiadas silenciosamente.

Este processo está em conformidade com:

• Especificações de inicialização segura UEFI
• Modelo de segurança shim do Linux
• Melhores práticas de inicialização segura corporativa

Remover um certificado MOK do sistema #

Um aluno previamente matriculado RELIANOID A remoção da chave do proprietário da máquina (MOK) pode ser agendada usando o seguinte comando:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Após executar este comando:

1. Você será solicitado a definir uma senha de uso único.
2. Reinicie o sistema
3. A tela do Gerenciador MOK (shim) aparecerá durante a inicialização.
4. Selecionar Excluir MOK
5. Confirme a exclusão usando a senha que você definiu.

Após a conclusão, o certificado será removido permanentemente do banco de dados MOK do sistema e os binários assinados com essa chave não serão mais considerados confiáveis ​​pelo Secure Boot.

Importante: Esta operação requer que a Inicialização Segura esteja ativada e que seja necessário acesso físico ou via console para concluir a confirmação durante a reinicialização.