Agent向けのLinux Secure Bootのサポート

Unified Extensible Firmware Interface(UEFI) Secure Boot機能は、一部のバージョンのDeep Security Agent for Linuxでサポートされています。詳細については、このSecure Bootサポートテーブルを参照してください。

エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。

  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • 侵入防御
  • アプリケーションコントロール

Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、Linuxコンピュータのファームウェアにトレンドマイクロのパブリックキー(インストール後に提供されます、たとえばDS20.derなど)を登録して、トレンドマイクロのカーネルモジュールの署名が認識できるようにする必要があります。そうしないと、 Workload Security 機能をインストールできません。

ダウンロードが必要なキーと、キーの登録に使用できる方法は、プラットフォームによって異なります。

トレンドマイクロの公開鍵をダウンロードする

トレンドマイクロの公開鍵は、次のリストからダウンロードできます。

次のファイルのダウンロードで問題が発生した場合は、右クリックして[ リンクに名前を付けて保存]を選択します。

  • DS20_V2.der
    Deep Security Secure Boot key DS20_V2、SHA1ハッシュは 87 fa 6d 96 b4 0d 34 96 39 48 47 00 b8 f3 dc f6 57 b9 dd 96
  • DS20.der / DS12.der
    Deep Security Secure BootキーDS20 / DS12、SHA1ハッシュ eb 8e 8a cf 5d 60 ac 47 e7 8e b9 b4 ad ef 8f b7 05 c4 9f f3
  • DS11.der
    Deep Security Secure Boot key DS11、SHA1ハッシュは 7d 96 56 5c 3a 77 b7 a7 24 49 d5 6a a5 0c 28 aa d7 3b 0b fb

Shim MOK Managerの鍵データベースを使用して鍵を登録する

次の手順は、VMware vSphere 6.5以降でセキュアブートをサポートするOSを使用するすべてのDeep Security Agentに適用できます。

トレンドマイクロの公開鍵を登録するには、次の操作を実行します。

  1. 保護するコンピュータ上で、Secure Bootが有効な場合は、 Deep Security Agentがインストールされていない場合は、 Deep Security Agentをインストールします。

  2. まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。

    yum install mokutil

  3. 公開鍵をMOKリストに追加します。

    mokutil --import /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der /opt/ds_agent/DS12.der /opt/ds_agent/DS11.der

    mokutil --import コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/からキーを追加しています。

    MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。

    5.3.18-24.34の後のSuSE 15では、カーネルモジュールの確認処理が変更されたため、DS20_v2.derが必要です。

  4. プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。

  5. システムを再起動します。
  6. コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
  7. 開始するには、いずれかのキーを押します。
  8. [Perform MOK management]画面で、[Enroll MOK]を選択します。
  9. [ MOKの登録]画面で、 キーXの表示を選択してキーの詳細を確認し、任意のキーを押して[ MOKの登録 ]画面に戻ることができます。
  10. [キーを登録しますか?] 画面で、 [続行] を選択します。
  11. Yesを選択し、手順4で設定したパスワードを入力します。
  12. [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
  13. mokutil ユーティリティを使用して、MOKリスト(上記の 手順3 )に追加されたキーが正常に登録されたかどうかを確認します。

    mokutil --test-key /opt/ds_agent/DS20_v2.der

    mokutil --test-key /opt/ds_agent/DS20.der

    mokutil --test-key /opt/ds_agent/DS12.der

    mokutil --test-key /opt/ds_agent/DS11.der

    mokutil --test-key コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/のキーをテストしています。

UEFIセキュアブートキーデータベースを使用してキーを登録する

次の手順は、Google Cloud PlatformでセキュアブートをサポートするOSを使用するすべてのDeep Security Agentに適用できます。

  1. トレンドマイクロの公開鍵とともに、次の証明書を準備します( トレンドマイクロの公開鍵のダウンロードを参照)。

  2. gcloudコマンドラインツールを使用して カスタマイズイメージ を作成し、セキュアブート用の証明書を設定します。

    gcloudcomputeimages create [IMAGE_NAME] \

    --source-image =[SOURCE_IMAGE] \

    --source-image-project =[SOURCE_PROJECT] \

    --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS20_v2.der,./DS20.der,./DS12.der,./DS11.der [der / bin形式のその他の必要なキーをここに追加] \

    --guest-os-features=UEFI_COMPATIBLE

    コマンドおよびAPIの詳細については、最新のGoogle Cloud Platformのドキュメントを参照してください。

    上記のコマンドは、GCPの制限により、初期設定のコマンドを指定したコマンドにマージするのではなく、上書きします。必要に応じて、独自のキーを追加してください。

  3. セキュアブートを有効にして、カスタマイズしたイメージからインスタンスを作成します。

  4. キーが/ proc / keysに正常に登録されているかどうかを確認します。

    grep 'Trend' /proc/keys

カーネルに鍵を署名する

次の手順は、Oracle Linux 7 UEK R6カーネル(5.4.17+)で セキュアブートをサポートするOSを使用するすべてのDeep Security Agent に適用できます。

  1. Signing Kernel Modules for Use with Secure Bootについては、Oracle Linuxヘルプセンターの手順に従ってください。
  2. セクション3.3(カーネルへのモジュール証明書の挿入とカーネルイメージへの署名(UEK R6のみ))に到達したら、コマンドに pubkey.der を入力する代わりに、DSキーとパス(たとえば、 ./DS20_v2.der)を入力して署名します。カーネルイメージに:

    sudo /usr/src/kernels/$(uname r)/scripts/insert-sys-cert -s /boot/System.map$(uname r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der

  3. 鍵がカーネル builtin_trusted_keys 鍵リングにリストされているかどうかを確認します。

    sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'

トレンドマイクロの公開鍵をアップデートする

次の状況では、トレンドマイクロの公開鍵をアップデートする必要があります。

1.Deep Security Agentがメジャーリリースにアップグレードされました。

Workload Security は、エージェントのメジャーリリース(たとえば、12.0および20.0)ごとに、トレンドマイクロのカーネルモジュールの公開鍵を更新します。Deep Security Agentを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しいパブリックキーが登録されるまで、オペレーティングシステムがアップグレードされたカーネルモジュールをロードしなかったため、 Workload Security コンソールに「エンジンオフライン」というエラーメッセージが表示されることがあります。

2.公開鍵は期限切れです。

公開鍵のライフサイクルは、Deep Securityのライフサイクルと同じです。公開鍵は、拡張サポート(EOL)の終了時に期限切れになります。詳細については、 Deep Security LTSライフサイクル日 を参照してください。

DS20.der公開鍵の有効期限は切れましたが、 Deep Security 20のサポート期間が延長された場合、Trend Micro Deep Security Agentのアップグレード時に登録する必要がある新しい鍵が作成されます。

Key 有効期限
DS20.der 2024年11月26日
DS20_v2.der 2026年10月24日

5.3.18-24.34の後のSuSE 15に必須 - 初期設定

DS12.der 2024年11月26日
DS11.der 2022年12月5日

3.Linuxカーネルの動作が変更されました。

まれに、カーネルモジュールのロードを確認するためのLinuxカーネルの挙動が変わることがあります。公開鍵を更新する必要があります。

たとえば、5.3.18-24.34の後にSuSE 15が追加された場合、初期設定でEKUのcodesignチェックが追加され、DS20_v2.derキーが必要になります。