このページのトピック
Agent向けのLinux Secure Bootのサポート
Unified Extensible Firmware Interface(UEFI) Secure Boot機能は、一部のバージョンのDeep Security Agent for Linuxでサポートされています。詳細については、このSecure Bootサポートテーブルを参照してください。
エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。
- 不正プログラム対策
- Webレピュテーション
- ファイアウォール
- 変更監視
- 侵入防御
- アプリケーションコントロール
Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、トレンドマイクロの公開キーを登録する必要があります(たとえば、インストールしたDeep Security Agentに応じて、インストール後にDSバージョン.derとして提供されます)。 DS20.der)をLinuxコンピュータのファームウェアにコピーして、トレンドマイクロのカーネルモジュールの署名を認識できるようにします。そうしないと、 Workload Security 機能をインストールできません。
トレンドマイクロの公開鍵を登録するには、次の操作を実行します。
-
保護するコンピュータ上で、Secure Bootが有効な場合は、 Deep Security Agentがインストールされていない場合は、 Deep Security Agentをインストールします。
インストール後、トレンドマイクロの公開鍵は
/opt/ds_agent/DS20.der
にあります。 -
まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。
yum install mokutil
-
公開鍵
DS20.der
をMOKリストに追加します。mokutil --import DS20.der
MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。
-
プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。
- システムを再起動します。
- コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
- 開始するには、いずれかのキーを押します。
- [Perform MOK management]画面で、[Enroll MOK]を選択します。
- [Enroll MOK]画面で、[View key 0]を選択します。
- [Enroll the key(s)?]画面で[Yes]を選択してから、上記の手順4で設定したパスワードを入力します。
- [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。
-
mokutil
ユーティリティを使用して、キーが正常に登録されているかどうかを確認します。mokutil --test-key /opt/ds_agent/DS20.der
-
次に、
keyctl
ユーティリティを使用して、キーがシステムキーリング上にあることを確認します。keyctl
ユーティリティがまだインストールされていない場合は、次のコマンドを使用してインストールします。yum install keyutils
-
システム鍵リングにあるキーを表示するには、次のコマンドを使用します。
keyctl list %:.system_keyring
Trend Micro署名鍵がリストされているはずです。
Secure Bootを使用している場合はエージェントをアップグレードしてください
Workload Securityは、Agentのすべてのメジャーリリースでトレンドマイクロのカーネルモジュールの署名鍵を更新します(たとえば、11.0および12).Deep Security Agentを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しい公開鍵が登録されるまで、オペレーティングシステムでアップグレードされたカーネルモジュールがロードされないため、Workload Securityコンソールに「エンジンオフライン」というエラーメッセージが表示されることがあります。