Agent向けのLinux Secure Bootのサポート

Unified Extensible Firmware Interface(UEFI) Secure Boot機能は、一部のバージョンのDeep Security Agent for Linuxでサポートされています。詳細については、このSecure Bootサポートテーブルを参照してください。

エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。

  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • 侵入防御
  • アプリケーションコントロール

Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、トレンドマイクロの公開キーを登録する必要があります(たとえば、インストールしたDeep Security Agentに応じて、インストール後にDSバージョン.derとして提供されます)。 DS20.der)をLinuxコンピュータのファームウェアにコピーして、トレンドマイクロのカーネルモジュールの署名を認識できるようにします。そうしないと、 Workload Security 機能をインストールできません。

トレンドマイクロの公開鍵を登録するには、次の操作を実行します。

  1. 保護するコンピュータ上で、Secure Bootが有効な場合は、 Deep Security Agentがインストールされていない場合は、 Deep Security Agentをインストールします。

    インストール後、トレンドマイクロの公開鍵は /opt/ds_agent/DS20.derにあります。

  2. まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。

    yum install mokutil

  3. 公開鍵DS20.derをMOKリストに追加します。

    mokutil --import DS20.der

    MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。

  4. プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。

  5. システムを再起動します。
  6. コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。

Shim UEFI鍵管理コンソール

  1. 開始するには、いずれかのキーを押します。
  2. [Perform MOK management]画面で、[Enroll MOK]を選択します。
  3. [Enroll MOK]画面で、[View key 0]を選択します。
  4. [Enroll the key(s)?]画面で[Yes]を選択してから、上記の手順4で設定したパスワードを入力します。
  5. [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
  6. mokutil ユーティリティを使用して、キーが正常に登録されているかどうかを確認します。

    mokutil --test-key /opt/ds_agent/DS20.der

  7. 次に、 keyctl ユーティリティを使用して、キーがシステムキーリング上にあることを確認します。keyctlユーティリティがまだインストールされていない場合は、次のコマンドを使用してインストールします。

    yum install keyutils

  8. システム鍵リングにあるキーを表示するには、次のコマンドを使用します。

    keyctl list %:.system_keyring

    Trend Micro署名鍵がリストされているはずです。

Secure Bootを使用している場合はエージェントをアップグレードしてください

Workload Securityは、Agentのすべてのメジャーリリースでトレンドマイクロのカーネルモジュールの署名鍵を更新します(たとえば、11.0および12).Deep Security Agentを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しい公開鍵が登録されるまで、オペレーティングシステムでアップグレードされたカーネルモジュールがロードされないため、Workload Securityコンソールに「エンジンオフライン」というエラーメッセージが表示されることがあります。