Обзор #

RELIANOID Версия Enterprise Edition полностью поддерживает Безопасная загрузка UEFI через стандартный Linux прокладка + MOK (ключ владельца станка) механизм.

Из-за особенностей установления доверия в системе Secure Boot на уровне встроенного ПО, Включение функции безопасной загрузки при первой установке невозможно.Необходим короткий, контролируемый процесс бутстрапа.

В этой статье объясняется рекомендуемая и поддерживаемая процедура включить безопасную загрузку RELIANOID Системы Enterprise Edition.

Важные проектные соображения #

Перед пользовательской настройкой необходимо установить доверие к Secure Boot. RELIANOID Ядро может загрузиться.

По этой причине:

• Система Для начала необходимо установить программу с поддержкой EFI, но с отключенной функцией Secure Boot.
• После установки RELIANOID Сертификат безопасной загрузки зарегистрирован.
• После этого в прошивке включается функция безопасной загрузки (Secure Boot).

Это ожидаемое, безопасное и соответствующее требованиям поведениесоответствует требованиям безопасности UEFI и требованиям безопасности вспомогательных систем.

Предпосылки #

• RELIANOID Установлена ​​версия Enterprise Edition.
• Загрузка системы в режиме UEFI
• Функция безопасной загрузки отключена в прошивке во время первоначальной установки.
• Доступ к консоли возможен (локальный или удаленный IPMI/iDRAC/iLO).
• Установленные инструменты мокутил и sbsigntool в каждом RELIANOID Балансировщик нагрузки с

  apt установить mokutil sbsigntool

• RELIANOID Сертификат безопасной загрузки уже установлен по адресу: /usr/local/relianoid/share/secureboot/cert-mok.der (доступно >= RELIANOID EE v8.5)

Шаг 1 — Установка RELIANOID с EFI (безопасная загрузка отключена) #

Настройка прошивки для:

• Режим загрузки UEFI
• Безопасная загрузка отключена

Затем установите RELIANOID В стандартной комплектации Enterprise Edition.

Наконец, загрузите систему и проверьте режим EFI с помощью команды:

[ -d /sys/firmware/efi ] && echo "Режим UEFI подтвержден"

Шаг 2 — Подготовка RELIANOID сертификат МОК #

RELIANOID Предоставляет предварительно установленный сертификат Secure Boot, который необходимо зарегистрировать в shim.

Выполните следующую команду как корень:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Запрос пароля #

Вам будет предложено установить одноразовый пароль для регистрации:

Введите пароль: (введите одноразовый пароль) Введите пароль еще раз: (повторно введите одноразовый пароль)

Этот пароль временный и будет использован только один раз во время регистрации.

Примечание: Сохраните этот пароль — он потребуется при следующей перезагрузке.

Подтвердите ожидающую зачисление. #

Подтвердите с помощью команды:

mokutil --list-new

Шаг 3 — Перезагрузите устройство MOK и зарегистрируйте его в системе Shim. #

Перезагрузите систему с помощью команды:

перезагружать

Во время загрузки, до загрузки операционной системы, Менеджер МОК Появится (интерфейс для прокладки).

Этапы регистрации #

1. Выберите Записаться в МОК

   

2. Посмотреть ключ

   

3. Выберите Продолжить

   

4. Выберите Да

   

5. Введите пароль, выбранный на шаге 2.
6. Подтвердите и перезагрузите

   

Это действие навсегда регистрирует RELIANOID Сертификат безопасной загрузки в базу данных MOK системы.

Шаг 4 — Подтверждение регистрации в программе MOK. #

После успешной перезагрузки системы убедитесь, что сертификат зарегистрирован:

mokutil --list-enrolled | греп RELIANOID

Вы должны увидеть запись, похожую на следующую:

Шаг 5 — Включите безопасную загрузку в прошивке. #

1. Перезагрузите систему
2. Войдите в настройки прошивки (BIOS/UEFI).
3. Включите БЕЗОПАСНАЯ ЗАГРУЗКА
4. Сохранить и выйти

Шаг 6 — Окончательная проверка #

После включения функции Secure Boot загрузите систему. RELIANOID и подтвердить состояние безопасной загрузки:

mokutil --sb-state

Ожидаемый результат:

SecureBoot включен

С этой точки зрения:

• RELIANOID ядро является доверенным
• Загрузочная цепочка полностью проверена.
• Безопасная загрузка работает.

УСТРАНЕНИЕ НЕПОЛАДОК #

Функция безопасной загрузки включена, но система не загружается. #

• Обеспечьте RELIANOID ядро > = 6.1.159 был загружен uname -r
• проверить RELIANOID Регистрация на получение сертификата с mokutil --list-enrolled | grep RELIANOID
• Убедитесь, что система загружается через заглушку (а не напрямую через GRUB).

Экран MOK Manager не отображается. #

• Обеспечивать БЕЗОПАСНАЯ ЗАГРУЗКА была отключена во время регистрации
• Повторите запуск mokutil --import команду
• Подтвердите видимость консоли во время перезагрузки.

Заметки о безопасности #

• Автоматизация регистрации в программе MOK невозможна без подтверждения пользователя.
• Такое поведение обеспечивается функцией UEFI Secure Boot и использованием shim-фильтров.
• Это предотвращает скрытое доверие к несанкционированным ключам.

Данный процесс соответствует следующим требованиям:

• Спецификации безопасной загрузки UEFI
• Модель безопасности Linux-прослойки
• Рекомендации по безопасной загрузке в корпоративной среде

Удаление сертификата MOK из системы #

Ранее зачисленный RELIANOID Удаление ключа владельца машины (MOK) можно запланировать с помощью следующей команды:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

После выполнения этой команды:

1. Вам будет предложено установить одноразовый пароль.
2. Перезагрузите систему
3. Во время загрузки появится экран MOK Manager (shim).
4. Выберите Удалить МОК
5. Подтвердите удаление, используя заданный вами пароль.

После завершения процесса сертификат будет навсегда удален из базы данных MOK системы, и исполняемые файлы, подписанные этим ключом, больше не будут считаться доверенными в рамках системы Secure Boot.

Важно: Для выполнения этой операции необходимо включить функцию Secure Boot и иметь физический доступ или доступ к консоли для подтверждения во время перезагрузки.