このページのトピック
Agent向けのLinux Secure Bootのサポート
Unified Extensible Firmware Interface(UEFI) Secure Boot 機能は、Linux版エージェントの一部でサポートされています。詳細については、この Secure Bootサポートテーブルを参照してください。
エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。
- 不正プログラム対策
- Webレピュテーション
- ファイアウォール
- 変更監視
- 侵入防御
- アプリケーションコントロール
Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、Linuxコンピュータのファームウェアにトレンドマイクロのパブリックキー(インストール後に提供されます、たとえばDS20.derなど)を登録して、トレンドマイクロのカーネルモジュールの署名が認識できるようにする必要があります。そうしないと、 Workload Security 機能をインストールできません。
ダウンロードが必要なキーと、キーの登録に使用できる方法は、プラットフォームによって異なります。
- VMWare vSphereの場合、 Shim MOK Manager Key Databaseを使用してキーを登録します。
- Google Cloud Platformの場合は、 UEFIセキュアブートキーデータベースを使用してキーを登録します。
トレンドマイクロの公開鍵をダウンロードする
トレンドマイクロの公開鍵は、次のリストからダウンロードできます。
次のファイルのダウンロードで問題が発生した場合は、右クリックして[リンクに名前を付けて保存]を選択します。
- DS2022.der
SHA1ハッシュが
0d 0b 3b ff ee 28 fa df 30 80 e9 bb 88 63 d0 57 fe 07 47 af
であるセキュアブートキーDS2022
Debian 11にエージェントを配信する場合は、DS2022.derが必要です。
- DS20_V2.der
Secure Boot key DS20_V2、SHA1ハッシュは
87 fa 6d 96 b4 0d 34 96 39 48 47 00 b8 f3 dc f6 57 b9 dd 96
5.3.18-24.34-defaultの後にSuSE 15カーネルにエージェントをインストールすると、カーネルモジュールの動作のチェックが変更されたため、DS20_v2.derが必要になります。
- DS20.der / DS12.der
Secure BootキーDS20 / DS12、SHA1ハッシュ
eb 8e 8a cf 5d 60 ac 47 e7 8e b9 b4 ad ef 8f b7 05 c4 9f f3
-
DS11.der Secure Boot key DS11、SHA1ハッシュは
7d 96 56 5c 3a 77 b7 a7 24 49 d5 6a a5 0c 28 aa d7 3b 0b fb
このDeep Security Agent 11の公開鍵の有効期限は2022年12月5日です。この日以降もエージェントを使用するには、新しい DS11_2022.der セキュアブートキーを
0d 0b 3b ff ee 28 fa df 30 80 e9 bb 88 63 d0 57 fe 07 47 af
のSHA1ハッシュで登録する必要があります。
Shim MOK Managerの鍵データベースを使用して鍵を登録する
次の手順は、VMware vSphere 6.5以降セキュアブートをサポートするOSを使用するエージェント適用できます。
トレンドマイクロの公開鍵を登録するには、次の操作を実行します。
-
保護するコンピュータで、Secure Bootが有効になっているコンピュータにエージェントをインストールします(まだインストールされていない場合)。
-
まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。
yum install mokutil
-
公開鍵をMOKリストに追加します。
Deep Security Agent 20の場合:
mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der
Deep Security Agent 12の場合:mokutil --import /opt/ds_agent/DS12.der
Deep Security Agent 11の場合:mokutil --import /opt/ds_agent/DS11.der /opt/ds_agent/DS11_2022.der
mokutil --import
コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、/opt/ds_agent/
からキーを追加しています。MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。
-
プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。
- システムを再起動します。
- コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
- 開始するには、いずれかのキーを押します。
- [Perform MOK management]画面で、[Enroll MOK]を選択します。
- [ MOKの登録]画面で、 キーXの表示を選択してキーの詳細を確認し、任意のキーを押して[ MOKの登録 ]画面に戻ることができます。
- [キーを登録しますか?] 画面で、 [続行] を選択します。
- Yesを選択し、手順4で設定したパスワードを入力します。
- [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
-
MOKリスト(上記の手順3)に追加されたキーが正常に登録されたかどうかを確認します。
-
ほとんどのOSでは、
mokutil
ユーティリティを使用します。mokutil --test-key /opt/ds_agent/${certificate_file}.der
mokutil --test-key
コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、/opt/ds_agent/
のキーをテストしています。 -
Debian 11の場合、
mokutil
は機能しません。代わりにkeyctl
を使用します。keyctl show %:.platform | grep 'Trend'
-
UEFIセキュアブートキーデータベースを使用してキーを登録する
次の手順は、Google Cloud PlatformでセキュアブートをサポートするOSを使用するエージェント適用できます。
-
トレンドマイクロの公開鍵とともに、次の証明書を準備します( トレンドマイクロの公開鍵のダウンロードを参照)。
- MicWinProPCA2011_2011-10-19.crt Microsoftの
SHA-1証明書ハッシュを含むMicrosoft Windows Production PCA 2011
58 0a 6f 4c c4 e4 b6 69 b9 eb dc 1b 2b 3e 08 7b 80 d0 67 8d
- MicCorUEFCA2011_2011-06-27.crt Microsoftの
Microsoft Corporation UEFI CA 2011(SHA-1証明書ハッシュを含む)
46 de f6 3b 5c e6 1c f8 ba 0d e2 e6 63 9c 10 19 d0 ed 14 f3
- MicWinProPCA2011_2011-10-19.crt Microsoftの
SHA-1証明書ハッシュを含むMicrosoft Windows Production PCA 2011
-
gcloudコマンドラインツールを使用して カスタマイズイメージ を作成し、セキュアブート用の証明書を設定します。
gcloudcomputeimages create [IMAGE_NAME] \
--source-image =[SOURCE_IMAGE] \
--source-image-project =[SOURCE_PROJECT] \
--signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS20_v2.der,./DS20.der,./DS12.der,./DS11.der [der / bin形式のその他の必要なキーをここに追加] \
--guest-os-features=UEFI_COMPATIBLE
コマンドおよびAPIの詳細については、最新のGoogle Cloud Platformのドキュメントを参照してください。
上記のコマンドは、GCPの制限により、初期設定のコマンドを指定したコマンドにマージするのではなく、上書きします。必要に応じて、独自のキーを追加してください。
-
セキュアブートを有効にして、カスタマイズしたイメージからインスタンスを作成します。
-
キーが/ proc / keysに正常に登録されているかどうかを確認します。
grep 'Trend' /proc/keys
カーネルに鍵を署名する
次の手順は、すべてに適用できますセキュアブートをサポートするOSを使用するエージェントOracle Linux 7 UEK R6カーネル(5.4.17+)およびOracle Linux 8 UEK R6カーネル(5.4.17+)。
- Signing Kernel Modules for Use with Secure Bootについては、Oracle Linuxヘルプセンターの手順に従ってください。
-
セクション3.3(カーネルへのモジュール証明書の挿入とカーネルイメージへの署名(UEK R6のみ))に到達したら、コマンドに
pubkey.der
を入力する代わりに、DSキーとパス(たとえば、./DS20_v2.der
)を入力して署名します。カーネルイメージに:sudo /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map$(uname -r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der
-
鍵がカーネル
builtin_trusted_keys
鍵リングにリストされているかどうかを確認します。sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'
トレンドマイクロの公開鍵をアップデートする
次の状況では、トレンドマイクロの公開鍵をアップデートする必要があります。
1.エージェントがメジャーリリースにアップグレードされました。
Workload Security は、エージェントのメジャーリリース(たとえば、12.0および20.0)ごとに、トレンドマイクロのカーネルモジュールの公開鍵を更新します。エージェントを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しいパブリックキーが登録されるまで、オペレーティングシステムがアップグレードされたカーネルモジュールをロードしなかったため、 Workload Security コンソールに「エンジンオフライン」エラーメッセージが表示されることがあります。
2.公開鍵は期限切れです。
公開鍵のライフサイクルは、エージェントのライフサイクルと同じです。公開鍵は、拡張サポート(EOL)の終了時に期限切れになります。詳細については、 Deep Security LTSライフサイクル日 を参照してください。
DS20.derの公開鍵の有効期限が切れているが、 Deep Security 20のサポート期間が延長されている場合、トレンドマイクロは、エージェントのアップグレード時に登録する必要がある新しい鍵を作成します。
Key | 有効期限 |
DS2022.der | 2031年11月24日 |
DS20.der | 2024年11月26日 |
DS20_v2.der | 2026年10月24日
SuSE 15では5.3.18-24.34-default以降で必須 |
DS12.der | 2024年11月26日 |
DS11_2022.der | 2031年11月24日 |
DS11.der | 2022年12月5日 |
3.Linuxカーネルの動作が変更されました。
まれに、カーネルモジュールのロードを確認するためのLinuxカーネルの挙動が変わることがあります。公開鍵を更新する必要があります。
たとえば、5.3.18-24.34-defaultの後にSuSE 15を使用すると、EKUコード署名チェックが追加され、DS20_v2.derキーが必要になります。