Agent向けのLinux Secure Bootのサポート

Unified Extensible Firmware Interface(UEFI) Secure Boot機能は、一部のバージョンのDeep Security Agent for Linuxでサポートされています。詳細については、このSecure Bootサポートテーブルを参照してください。

エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。

  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • 侵入防御
  • アプリケーションコントロール

Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、Linuxコンピュータのファームウェアにトレンドマイクロのパブリックキー(提供されているインストール、たとえばDS20.derなど)を登録して、トレンドマイクロのカーネルモジュールが認識できるようにする必要があります。署名そうしないと、 Workload Security 機能をインストールできません。

トレンドマイクロの公開鍵を登録するには、次の操作を実行します。

  1. 保護するコンピュータ上で、Secure Bootが有効な場合は、 Deep Security Agentがインストールされていない場合は、 Deep Security Agentをインストールします。

    インストール後、トレンドマイクロの公開鍵は /opt/ds_agent/DS20.der および /opt/ds_agent/secureboot/DS20_v2.derにあります。

  2. まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。

    yum install mokutil

  3. MOKリストに公開鍵を追加します。

    mokutil --import /opt/ds_agent/DS20.der /opt/ds_agent/secureboot/DS20_v2.der

    MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。

    5.3.18-24.34の後のSuSE 15では、カーネルモジュールの確認処理が変更されたため、DS20_v2.derが必要です。

  4. プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。

  5. システムを再起動します。
  6. コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
  7. 開始するには、いずれかのキーを押します。
  8. [Perform MOK management]画面で、[Enroll MOK]を選択します。
  9. [ MOK の登録]画面で、 キーX の表示を選択してキーの詳細を確認し、任意のキーを押して[ Enroll MOK ]画面に戻ることができます。
  10. 続行 を選択します。キーを登録します(s)? 画面。
  11. Yesを選択し、手順4で設定したパスワードを入力します。
  12. [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
  13. mokutil ユーティリティを使用して、キーが正常に登録されているかどうかを確認します。

    mokutil --test-key /opt/ds_agent/DS20.der

    mokutil --test-key /opt/ds_agent/secureboot/DS20_v2.der

トレンドマイクロの公開鍵をアップデートする

次の状況では、トレンドマイクロの公開鍵をアップデートする必要があります。

1.Deep Security Agentがメジャーリリースにアップグレードされました。

Workload Security は、エージェントのメジャーリリース(たとえば、12.0および20.0)ごとに、トレンドマイクロのカーネルモジュールの公開鍵を更新します。Deep Security Agentを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しいパブリックキーが登録されるまで、オペレーティングシステムがアップグレードされたカーネルモジュールをロードしなかったため、 Workload Security コンソールに「エンジンオフライン」というエラーメッセージが表示されることがあります。

2.公開鍵は期限切れです。

公開鍵のライフサイクルは、Deep Securityのライフサイクルと同じです。公開鍵は、拡張サポート(EOL)の終了時に期限切れになります。詳細については、 Deep Security LTSライフサイクル日 を参照してください。

DS20.der公開鍵の有効期限は切れましたが、 Deep Security 20のサポート期間が延長された場合、Trend Micro Deep Security Agentのアップグレード時に登録する必要がある新しい鍵が作成されます。

Key 有効期限
DS20.der 2024年11月26日
DS20_v2.der 2026年10月24日

5.3.18-24.34の後のSuSE 15に必須 - 初期設定

3.Linuxカーネルの動作が変更されました。

まれに、カーネルモジュールのロードを確認するためのLinuxカーネルの挙動が変わることがあります。公開鍵を更新する必要があります。

たとえば、5.3.18-24.34の後にSuSE 15が追加された場合、初期設定でEKUのcodesignチェックが追加され、DS20_v2.derキーが必要になります。