Agent向けのLinux Secure Bootのサポート

Unified Extensible Firmware Interface(UEFI) Secure Boot機能は、一部のバージョンのDeep Security Agent for Linuxでサポートされています。詳細については、このSecure Bootサポートテーブルを参照してください。

エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。

  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • 侵入防御
  • アプリケーションコントロール

Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、Linuxコンピュータのファームウェアにトレンドマイクロのパブリックキー(インストール後に提供されます、たとえばDS20.derなど)を登録して、トレンドマイクロのカーネルモジュールの署名が認識できるようにする必要があります。そうしないと、 Workload Security 機能をインストールできません。

ダウンロードが必要なキーと、キーの登録に使用できる方法は、プラットフォームによって異なります。

トレンドマイクロの公開鍵をダウンロードする

トレンドマイクロの公開鍵は、次のリストからダウンロードできます。

次のファイルのダウンロードで問題が発生した場合は、右クリックして[ リンクに名前を付けて保存]を選択します。

Shim MOK Managerの鍵データベースを使用して鍵を登録する

次の手順は、VMware vSphere 6.5以降でセキュアブートをサポートするOSを使用するすべてのDeep Security Agentに適用できます。

トレンドマイクロの公開鍵を登録するには、次の操作を実行します。

  1. 保護するコンピュータ上で、Secure Bootが有効な場合は、 Deep Security Agentがインストールされていない場合は、 Deep Security Agentをインストールします。

  2. まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。

    yum install mokutil

  3. 公開鍵をMOKリストに追加します。

    mokutil --import /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der /opt/ds_agent/DS12.der /opt/ds_agent/DS11.der

    mokutil --import コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/からキーを追加しています。

    MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。

    5.3.18-24.34の後のSuSE 15では、カーネルモジュールの確認処理が変更されたため、DS20_v2.derが必要です。

  4. プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。

  5. システムを再起動します。
  6. コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
  7. 開始するには、いずれかのキーを押します。
  8. [Perform MOK management]画面で、[Enroll MOK]を選択します。
  9. [ MOKの登録]画面で、 キーXの表示を選択してキーの詳細を確認し、任意のキーを押して[ MOKの登録 ]画面に戻ることができます。
  10. [キーを登録しますか?] 画面で、 [続行] を選択します。
  11. Yesを選択し、手順4で設定したパスワードを入力します。
  12. [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
  13. mokutil ユーティリティを使用して、MOKリスト(上記の 手順3 )に追加されたキーが正常に登録されたかどうかを確認します。

    mokutil --test-key /opt/ds_agent/DS20_v2.der

    mokutil --test-key /opt/ds_agent/DS20.der

    mokutil --test-key /opt/ds_agent/DS12.der

    mokutil --test-key /opt/ds_agent/DS11.der

    mokutil --test-key コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/のキーをテストしています。

UEFIセキュアブートキーデータベースを使用してキーを登録する

次の手順は、Google Cloud PlatformでセキュアブートをサポートするOSを使用するすべてのDeep Security Agentに適用できます。

  1. トレンドマイクロの公開鍵とともに、次の証明書を準備します( トレンドマイクロの公開鍵のダウンロードを参照)。

  2. gcloudコマンドラインツールを使用して カスタマイズイメージ を作成し、セキュアブート用の証明書を設定します。

    gcloudcomputeimages create [IMAGE_NAME] \

    --source-image =[SOURCE_IMAGE] \

    --source-image-project =[SOURCE_PROJECT] \

    --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS20_v2.der,./DS20.der,./DS12.der,./DS11.der \

    --guest-os-features=UEFI_COMPATIBLE

    コマンドおよびAPIの詳細については、最新のGoogle Cloud Platformのドキュメントを参照してください。

  3. セキュアブートを有効にして、カスタマイズしたイメージからインスタンスを作成します。

  4. キーが/ proc / keysに正常に登録されているかどうかを確認します。

    grep 'Trend' /proc/keys

トレンドマイクロの公開鍵をアップデートする

次の状況では、トレンドマイクロの公開鍵をアップデートする必要があります。

1.Deep Security Agentがメジャーリリースにアップグレードされました。

Workload Security は、エージェントのメジャーリリース(たとえば、12.0および20.0)ごとに、トレンドマイクロのカーネルモジュールの公開鍵を更新します。Deep Security Agentを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しいパブリックキーが登録されるまで、オペレーティングシステムがアップグレードされたカーネルモジュールをロードしなかったため、 Workload Security コンソールに「エンジンオフライン」というエラーメッセージが表示されることがあります。

2.公開鍵は期限切れです。

公開鍵のライフサイクルは、Deep Securityのライフサイクルと同じです。公開鍵は、拡張サポート(EOL)の終了時に期限切れになります。詳細については、 Deep Security LTSライフサイクル日 を参照してください。

DS20.der公開鍵の有効期限は切れましたが、 Deep Security 20のサポート期間が延長された場合、Trend Micro Deep Security Agentのアップグレード時に登録する必要がある新しい鍵が作成されます。

Key 有効期限
DS20.der 2024年11月26日
DS20_v2.der 2026年10月24日

5.3.18-24.34の後のSuSE 15に必須 - 初期設定

DS12.der 2024年11月26日
DS11.der 2022年12月5日

3.Linuxカーネルの動作が変更されました。

まれに、カーネルモジュールのロードを確認するためのLinuxカーネルの挙動が変わることがあります。公開鍵を更新する必要があります。

たとえば、5.3.18-24.34の後にSuSE 15が追加された場合、初期設定でEKUのcodesignチェックが追加され、DS20_v2.derキーが必要になります。