セキュアブートの設定 RELIANOID エンタープライズ版

概要
重要な設計上の考慮事項
前提条件
ステップ1 - インストール RELIANOID EFI（セキュアブート無効）
ステップ2 - ステージング RELIANOID MOK証明書
- パスワードプロンプト
- 保留中の登録を確認する
ステップ3 - 再起動してMOKをshimに登録する
- 登録手順
ステップ4 — MOK登録を確認する
ステップ5 - ファームウェアでセキュアブートを有効にする
ステップ6 — 最終検証
トラブルシューティング
- セキュアブートが有効になっているが、システムが起動に失敗する
- MOKマネージャー画面が表示されない
セキュリティ上の注意
システムからMOK証明書を削除する

概要 #

RELIANOID エンタープライズ版は完全にサポートします UEFIセキュアブート 標準Linuxを通じて shim + MOK（マシン所有者キー） 機構。

セキュアブートの信頼がファームウェアレベルで確立される方法により、 初回インストール時にセキュアブートを有効にすることはできません短く制御されたブートストラッププロセスが必要です。

この記事では、 推奨およびサポートされている手順 セキュアブートを有効にするには RELIANOID エンタープライズエディションシステム。

重要な設計上の考慮事項 #

カスタムブートの前にセキュアブートの信頼を確立する必要があります RELIANOID カーネルは起動できます。

このため：

システム 最初にEFIサポート付きでインストールする必要がありますが、セキュアブートは無効になっています。
インストール後、 RELIANOID セキュアブート証明書が登録されています
セキュアブートはファームウェアで有効化されます

これは 期待される、安全で、準拠した動作UEFI および shim のセキュリティ要件に準拠しています。

前提条件 #

RELIANOID エンタープライズエディションがインストールされている
UEFIモードでのシステム起動
初期インストール時にファームウェアでセキュアブートが無効になっている
コンソールアクセスが利用可能（ローカルまたはリモート IPMI/iDRAC/iLO）
インストールされたツール モクティル and sbsigntool 毎回 RELIANOID ロードバランサー
```
apt インストール mokutil sbsigntool
```
RELIANOID セキュアブート証明書は次の場所に既にインストールされています: /usr/local/relianoid/share/secureboot/cert-mok.der （利用可能>= RELIANOID EE v8.5)

ステップ1 - インストール RELIANOID EFI（セキュアブート無効） #

ファームウェアを構成する:

UEFIブートモード
セキュアブートが無効

次にインストールします RELIANOID 通常は Enterprise Edition です。

最後に、システムを起動し、次のコマンドで EFI モードを確認します。

[ -d /sys/firmware/efi ] && echo "UEFIモードが確認されました"

ステップ2 - ステージング RELIANOID MOK証明書 #

RELIANOID shim に登録する必要がある、プリインストールされたセキュアブート証明書を提供します。

次のコマンドを実行します ルート:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

パスワードプロンプト #

設定を求められます ワンタイム登録パスワード:

パスワードを入力してください: (ワンタイムパスワードを入力してください) パスワードをもう一度入力してください: (ワンタイムパスワードをもう一度入力してください)

このパスワードは 一時的 登録時に 1 回のみ使用されます。

注意: このパスワードは次回の再起動時に必要となるので、保存しておいてください。

保留中の登録を確認する #

次のコマンドで確認します。

mokutil --list-new

ステップ3 - 再起動してMOKをshimに登録する #

次のコマンドでシステムを再起動します。

リブート

起動中に、 オペレーティングシステムが読み込まれる前に MOKマネージャー （shimインターフェース）が表示されます。

登録手順 #

選択する MOKに登録する
キーを表示
選択する 続ける
選択するあり
ステップ2で選択したパスワードを入力してください
確認して再起動

このアクションにより、 RELIANOID セキュアブート証明書 システムの MOK データベースに追加します。

ステップ4 — MOK登録を確認する #

システムが正常に再起動したら、証明書が登録されていることを確認します。

mokutil --list-enrolled | grep RELIANOID

次のようなエントリが表示されます。

relianoid_secure_boot_mok_list_enrolled

ステップ5 - ファームウェアでセキュアブートを有効にする #

システムをリブートする
ファームウェア（BIOS/UEFI）セットアップに入る
有効にする 安全な立ち上げ
保存して終了

ステップ6 — 最終検証 #

セキュアブートが有効になったら、 RELIANOID セキュアブートの状態を確認します。

mokutil --sb-state

期待される出力：

セキュアブートが有効

この時点で：

その RELIANOID カーネルは信頼されている
ブートチェーンは完全に検証済み
セキュアブートが動作しています

トラブルシューティング #

セキュアブートが有効になっているが、システムが起動に失敗する #

確認します RELIANOID kernel > = 6.1.159 満載だった uname -r
確認します RELIANOID 証明書登録 mokutil --list-enrolled | grep RELIANOID
システムが shim 経由で起動することを確認します (直接 GRUB ではありません)

MOKマネージャー画面が表示されない #

確保 安全な立ち上げ 登録中に無効になった
再実行 mokutil --import command
再起動中にコンソールの可視性を確認する

セキュリティ上の注意 #

ユーザーの確認なしではMOK登録を自動化できません
この動作はUEFIセキュアブートとshimによって強制される。
不正なキーが黙って信頼されることを防ぎます

このプロセスは以下に準拠しています。

UEFIセキュアブートの仕様
Linux shim セキュリティモデル
エンタープライズセキュアブートのベストプラクティス

システムからMOK証明書を削除する #

以前に登録した RELIANOID マシン所有者キー (MOK) は、次のコマンドを使用して削除をスケジュールできます。

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

このコマンドを実行した後:

ワンタイムパスワードを設定するように求められます
システムをリブートする
起動時にMOKマネージャー（shim）画面が表示されます
選択する MOKを削除
定義したパスワードを使用して削除を確認します

完了すると、証明書はシステムの MOK データベースから完全に削除され、そのキーで署名されたバイナリはセキュアブートで信頼されなくなります。

重要: この操作では、セキュアブートを有効にし、再起動中に確認を完了するために物理アクセスまたはコンソールアクセスが必要です。