Übersicht #

RELIANOID Die Enterprise Edition wird vollständig unterstützt UEFI Sicherer Start über das Standard-Linux Unterlegscheibe + MOK (Maschinenbesitzerschlüssel) Mechanismus.

Aufgrund der Art und Weise, wie Secure Boot-Vertrauen auf Firmware-Ebene hergestellt wird, Secure Boot kann bei der ersten Installation nicht aktiviert werden.Ein kurzer, kontrollierter Bootstrap-Prozess ist erforderlich.

Dieser Artikel erklärt die empfohlenes und unterstütztes Verfahren Secure Boot aktivieren RELIANOID Systeme der Enterprise Edition.

Wichtige Designüberlegung #

Secure Boot-Vertrauensstellung muss vor dem benutzerdefinierten Vorgang eingerichtet werden. RELIANOID Der Kernel kann booten.

Aus diesem Grund:

• Das System muss zuerst mit EFI-Unterstützung, aber deaktiviertem Secure Boot installiert werden.
• Nach der Installation, der RELIANOID Das Secure-Boot-Zertifikat ist registriert.
• Secure Boot wird dann in der Firmware aktiviert.

Das ist erwartetes, sicheres und regelkonformes Verhalten, abgestimmt auf die Sicherheitsanforderungen von UEFI und Shim.

Voraussetzungen: #

• RELIANOID Enterprise Edition installiert
• Systemstart im UEFI-Modus
• Secure Boot wurde bei der Erstinstallation in der Firmware deaktiviert.
• Konsolenzugriff verfügbar (lokal oder remote über IPMI/iDRAC/iLO)
• installierte Werkzeuge mokutil und sbsigntool in jedem RELIANOID Load Balancer mit

  apt installiert mokutil sbsigntool

• RELIANOID Secure-Boot-Zertifikat bereits installiert unter: /usr/local/relianoid/share/secureboot/cert-mok.der (verfügbar >= RELIANOID EE v8.5)

Schritt 1 – Installation RELIANOID mit EFI (Secure Boot deaktiviert) #

Firmware konfigurieren für:

• UEFI-Bootmodus
• Secure Boot deaktiviert

Installieren Sie dann RELIANOID Normalerweise Enterprise Edition.

Starten Sie abschließend das System und überprüfen Sie den EFI-Modus mit folgendem Befehl:

[ -d /sys/firmware/efi ] && echo "UEFI-Modus bestätigt"

Schritt 2 — Inszenieren Sie die RELIANOID MOK-Zertifikat #

RELIANOID Es wird ein vorinstalliertes Secure-Boot-Zertifikat bereitgestellt, das in Shim registriert werden muss.

Führen Sie den folgenden Befehl aus als Wurzel:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Passwortabfrage #

Sie werden aufgefordert, einen Wert festzulegen. Einmaliges Anmeldepasswort:

Passwort eingeben: (Einmalpasswort eingeben) Passwort erneut eingeben: (Einmalpasswort erneut eingeben)

Dieses Passwort lautet: vorübergehend und wird während der Einschreibung nur einmal verwendet.

Hinweis: Bewahren Sie dieses Passwort auf – es wird beim nächsten Neustart benötigt.

Bestätigung der ausstehenden Einschreibung #

Bestätigen Sie mit folgendem Befehl:

mokutil --list-new

Schritt 3 – MOK neu starten und in Shim registrieren #

Starten Sie das System mit folgendem Befehl neu:

rebooten

Während des Bootvorgangs vor dem Laden des Betriebssystems, hat das MOK-Manager (Shim-Schnittstelle) wird erscheinen.

Anmeldeschritte #

1. Auswählen MOK anmelden

   

2. Schlüssel anzeigen

   

3. Auswählen Fortfahren

   

4. Auswählen Ja

   

5. Geben Sie das in Schritt 2 gewählte Passwort ein.
6. Bestätigen und neu starten

   

Diese Maßnahme führt zur dauerhaften Anmeldung der RELIANOID Secure Boot-Zertifikat in die MOK-Datenbank des Systems.

Schritt 4 – MOK-Registrierung überprüfen #

Nach erfolgreichem Neustart des Systems überprüfen Sie, ob das Zertifikat registriert ist:

mokutil --list-enrolled | grep RELIANOID

Sie sollten einen Eintrag sehen, der etwa so aussieht:

Schritt 5 – Sicheres Booten in der Firmware aktivieren #

1. Starten Sie das System neu
2. Rufen Sie die Firmware-Einstellungen (BIOS/UEFI) auf.
3. Ermöglichen SICHERES BOOTEN
4. Speichern und schließen

Schritt 6 – Abschließende Überprüfung #

Sobald Secure Boot aktiviert ist, starten Sie RELIANOID und den Secure-Boot-Status bestätigen:

mokutil --sb-state

Erwartete Ausgabe:

SecureBoot aktiviert

An dieser Stelle:

• Das RELIANOID Der Kernel wird als vertrauenswürdig eingestuft.
• Die Boot-Kette ist vollständig validiert.
• Secure Boot ist aktiv.

Problemlösung #

Secure Boot ist aktiviert, aber das System startet nicht. #

• Sicherstellen, dass die RELIANOID Kern > = 6.1.159 wurde beladen mit uname -r
• Verify RELIANOID Zertifikatseinschreibung mit mokutil --list-enrolled | grep RELIANOID
• Bestätigen Sie, dass das System über Shim (nicht direkt über GRUB) startet.

Der MOK Manager-Bildschirm wird nicht angezeigt #

• Gewährleisten SICHERES BOOTEN wurde während der Einschreibung deaktiviert
• Führen Sie den Vorgang erneut aus mokutil --import Befehl
• Konsolensichtbarkeit während des Neustarts prüfen

Sicherheitshinweis #

• Die MOK-Registrierung kann nicht ohne Benutzerbestätigung automatisiert werden.
• Dieses Verhalten wird durch UEFI Secure Boot und Shim erzwungen.
• Es verhindert, dass nicht autorisierte Schlüssel stillschweigend als vertrauenswürdig eingestuft werden.

Dieses Verfahren entspricht folgenden Richtlinien:

• UEFI Secure Boot-Spezifikationen
• Linux-Shim-Sicherheitsmodell
• Best Practices für Enterprise Secure Boot

Entfernen eines MOK-Zertifikats aus dem System #

Ein zuvor eingeschriebener RELIANOID Der Maschinenbesitzerschlüssel (MOK) kann mit folgendem Befehl zur Entfernung geplant werden:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Nach Ausführung dieses Befehls:

1. Sie werden aufgefordert, ein Einmalpasswort festzulegen.
2. Starten Sie das System neu
3. Der MOK Manager (Shim)-Bildschirm wird beim Hochfahren angezeigt.
4. Auswählen MOK löschen
5. Bestätigen Sie die Löschung mit dem von Ihnen festgelegten Passwort.

Nach Abschluss des Vorgangs wird das Zertifikat dauerhaft aus der MOK-Datenbank des Systems entfernt, und mit diesem Schlüssel signierte Binärdateien werden unter Secure Boot nicht mehr als vertrauenswürdig eingestuft.

Wichtig: Für diesen Vorgang muss Secure Boot aktiviert sein und physischer Zugriff oder Konsolenzugriff erforderlich sein, um die Bestätigung während des Neustarts abzuschließen.