Panoramica #

RELIANOID Enterprise Edition supporta pienamente UEFI Secure Boot attraverso lo standard Linux shim + MOK (chiave del proprietario della macchina) meccanismo.

A causa del modo in cui la fiducia Secure Boot viene stabilita a livello di firmware, L'avvio protetto non può essere abilitato alla prima installazioneÈ necessario un processo di bootstrap breve e controllato.

Questo articolo spiega il procedura consigliata e supportata per abilitare l'avvio protetto su RELIANOID Sistemi Enterprise Edition.

Considerazioni importanti sulla progettazione #

La fiducia Secure Boot deve essere stabilita prima dell'impostazione personalizzata RELIANOID il kernel può avviarsi.

Per questo motivo:

• Il sistema deve essere prima installato con il supporto EFI ma con Secure Boot disabilitato
• Dopo l'installazione, il RELIANOID Il certificato Secure Boot è registrato
• Secure Boot viene quindi abilitato nel firmware

Questo è anche comportamento previsto, sicuro e conforme, allineato con i requisiti di sicurezza UEFI e shim.

Prerequisiti #

• RELIANOID Edizione Enterprise installata
• Avvio del sistema in modalità UEFI
• Avvio protetto disabilitato nel firmware durante l'installazione iniziale
• Accesso alla console disponibile (IPMI/iDRAC/iLO locale o remoto)
• Strumenti installati mokutil e sbsigntool in ogni RELIANOID Bilanciatore di carico con

  apt installa mokutil sbsigntool

• RELIANOID Certificato Secure Boot già installato in: /usr/local/relianoid/share/secureboot/cert-mok.der (disponibile >= RELIANOID EE v8.5)

Passaggio 1: installazione RELIANOID con EFI (avvio protetto disabilitato) #

Configurare il firmware per:

• Modalità di avvio UEFI
• Avvio protetto disabilitato

Quindi, installa RELIANOID Normalmente Enterprise Edition.

Infine, avvia il sistema e verifica la modalità EFI con il comando:

[ -d /sys/firmware/efi ] && echo "Modalità UEFI confermata"

Fase 2 — Mettere in scena il RELIANOID Certificato MOK #

RELIANOID fornisce un certificato Secure Boot preinstallato che deve essere registrato in shim.

Eseguire il seguente comando come radice:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Richiesta password #

Ti verrà chiesto di impostare un password di registrazione monouso:

inserisci password: (inserisci password monouso) inserisci di nuovo la password: (reinserisci password monouso)

Questa password è temporaneo e verrà utilizzato una sola volta durante l'iscrizione.

Nota: tenere a portata di mano questa password: sarà necessaria al prossimo riavvio.

Conferma iscrizione in sospeso #

Confermare con il comando:

mokutil --list-new

Passaggio 3: riavviare e registrare il MOK in shim #

Riavviare il sistema con il comando:

reboot

Durante l'avvio, prima che il sistema operativo venga caricato, il Responsabile MOK (interfaccia shim) apparirà.

Fasi di iscrizione #

1. Seleziona Iscriviti MOK

   

2. Visualizza chiave

   

3. Seleziona Continua

   

4. Seleziona Si

   

5. Inserisci la password scelta nel passaggio 2
6. Conferma e riavvia

   

Questa azione iscrive in modo permanente il RELIANOID Certificato di avvio sicuro nel database MOK del sistema.

Fase 4: verifica dell'iscrizione al MOK #

Dopo il riavvio corretto del sistema, verificare che il certificato sia registrato:

mokutil --list-iscritto | grep RELIANOID

Dovresti vedere una voce simile a:

Passaggio 5: abilitare l'avvio protetto nel firmware #

1. Riavvia il sistema
2. Accedi alla configurazione del firmware (BIOS/UEFI)
3. Consentire a tutti Secure Boot
4. Salva ed esci

Fase 6 — Verifica finale #

Una volta abilitato Secure Boot, avviare RELIANOID e confermare lo stato di Secure Boot:

mokutil --sb-state

Uscita prevista:

SecureBoot abilitato

A questo punto:

• Migliori RELIANOID il kernel è attendibile
• La catena di avvio è completamente convalidata
• Secure Boot è operativo

Troubleshooting #

Avvio protetto abilitato ma il sistema non riesce ad avviarsi #

• Garantire il RELIANOID Kernel > = 6.1.159 era carico di uname -r
• Verifica RELIANOID Iscrizione al certificato con mokutil --list-enrolled | grep RELIANOID
• Confermare l'avvio del sistema tramite shim (non GRUB diretto)

La schermata MOK Manager non viene visualizzata #

• Garantire Secure Boot è stato disabilitato durante l'iscrizione
• Rieseguire il mokutil --import command
• Conferma la visibilità della console durante il riavvio

Note di sicurezza #

• L'iscrizione al MOK non può essere automatizzata senza la conferma dell'utente
• Questo comportamento è imposto da UEFI Secure Boot e shim
• Impedisce che le chiavi non autorizzate vengano considerate attendibili in modo silenzioso

Questo processo è conforme a:

• Specifiche di avvio sicuro UEFI
• Modello di sicurezza Linux shim
• Buone pratiche per l'avvio sicuro aziendale

Rimozione di un certificato MOK dal sistema #

Un iscritto in precedenza RELIANOID È possibile pianificare la rimozione della chiave del proprietario della macchina (MOK) utilizzando il seguente comando:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Dopo aver eseguito questo comando:

1. Ti verrà chiesto di impostare una password monouso
2. Riavvia il sistema
3. La schermata MOK Manager (shim) apparirà durante l'avvio
4. Seleziona Elimina MOK
5. Conferma l'eliminazione utilizzando la password che hai definito

Una volta completato, il certificato verrà rimosso definitivamente dal database MOK del sistema e i file binari firmati con quella chiave non saranno più considerati attendibili in Secure Boot.

Importante: questa operazione richiede che sia abilitato l'avvio protetto e che sia disponibile l'accesso fisico o alla console per completare la conferma durante il riavvio.