目次
このページのトピック
トレンドマイクロの公開鍵をダウンロードする
Shim MOK Managerの鍵データベースを使用して鍵を登録する
UEFIセキュアブートキーデータベースを使用してキーを登録する
カーネルに鍵を署名する
トレンドマイクロの公開鍵をアップデートする

Agent向けのLinux Secure Bootのサポート

Unified Extensible Firmware Interface(UEFI) Secure Boot 機能は、Linux版エージェントの一部でサポートされています。詳細については、この Secure Bootサポートテーブルを参照してください。

エージェントコンピュータでSecure Bootが有効になっている場合、Linuxカーネルはカーネルモジュールがインストールされる前にシグニチャチェックを実行します。これらの Workload Security 機能は、カーネルモジュールをインストールします。

  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • 侵入防御
  • アプリケーションコントロール

Secure Bootが有効になっているコンピュータでこれらの機能を使用する場合は、Linuxコンピュータのファームウェアにトレンドマイクロのパブリックキー(インストール後に提供されます、たとえばDS20.derなど)を登録して、トレンドマイクロのカーネルモジュールの署名が認識できるようにする必要があります。そうしないと、 Workload Security 機能をインストールできません。

ダウンロードが必要なキーと、キーの登録に使用できる方法は、プラットフォームによって異なります。

トレンドマイクロの公開鍵をダウンロードする

トレンドマイクロの公開鍵は、次のリストからダウンロードできます。

次のファイルのダウンロードで問題が発生した場合は、右クリックして[リンクに名前を付けて保存]を選択します。

  • DS2022.der
    SHA1ハッシュが0d 0b 3b ff ee 28 fa df 30 80 e9 bb 88 63 d0 57 fe 07 47 afであるセキュアブートキーDS2022

Debian 11にエージェントを配信する場合は、DS2022.derが必要です。

  • DS20_V2.der
    Secure Boot key DS20_V2、SHA1ハッシュは 87 fa 6d 96 b4 0d 34 96 39 48 47 00 b8 f3 dc f6 57 b9 dd 96

5.3.18-24.34-defaultの後にSuSE 15カーネルにエージェントをインストールすると、カーネルモジュールの動作のチェックが変更されたため、DS20_v2.derが必要になります。

  • DS20.der / DS12.der
    Secure BootキーDS20 / DS12、SHA1ハッシュ eb 8e 8a cf 5d 60 ac 47 e7 8e b9 b4 ad ef 8f b7 05 c4 9f f3

  • DS11.der
    Secure Boot key DS11、SHA1ハッシュは 7d 96 56 5c 3a 77 b7 a7 24 49 d5 6a a5 0c 28 aa d7 3b 0b fb

    このDeep Security Agent 11の公開鍵の有効期限は2022年12月5日です。この日以降もエージェントを使用するには、新しい DS11_2022.der セキュアブートキーを 0d 0b 3b ff ee 28 fa df 30 80 e9 bb 88 63 d0 57 fe 07 47 afのSHA1ハッシュで登録する必要があります。

Shim MOK Managerの鍵データベースを使用して鍵を登録する

次の手順は、VMware vSphere 6.5以降セキュアブートをサポートするOSを使用するエージェント適用できます。

トレンドマイクロの公開鍵を登録するには、次の操作を実行します。

  1. 保護するコンピュータで、Secure Bootが有効になっているコンピュータにエージェントをインストールします(まだインストールされていない場合)。

  2. まだインストールされていない場合は、マシン所有者キー(MOK)機能をインストールします。

    yum install mokutil

  3. 公開鍵をMOKリストに追加します。

    Deep Security Agent 20の場合: mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der Deep Security Agent 12の場合: mokutil --import /opt/ds_agent/DS12.der Deep Security Agent 11の場合: mokutil --import /opt/ds_agent/DS11.der /opt/ds_agent/DS11_2022.der

    mokutil --import コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/からキーを追加しています。

    MOKリストに公開鍵を手動で追加する方法の詳細については、Linuxのマニュアルを参照してください。

  4. プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。

  5. システムを再起動します。
  6. コンピュータの再起動後、Shim UEFIキー管理コンソールが開きます。
  7. 開始するには、いずれかのキーを押します。
  8. [Perform MOK management]画面で、[Enroll MOK]を選択します。
  9. [ MOKの登録]画面で、 キーXの表示を選択してキーの詳細を確認し、任意のキーを押して[ MOKの登録 ]画面に戻ることができます。
  10. [キーを登録しますか?] 画面で、 [続行] を選択します。
  11. Yesを選択し、手順4で設定したパスワードを入力します。
  12. [The system must now be rebooted]画面で[OK]を選択して変更を確認し、再起動します。

  13. MOKリスト(上記の手順3)に追加されたキーが正常に登録されたかどうかを確認します。

    • ほとんどのOSでは、 mokutil ユーティリティを使用します。 mokutil --test-key /opt/ds_agent/${certificate_file}.der

      mokutil --test-key コマンドが機能するには、そのパスがキーの場所と一致している必要があります。上記のコマンドは、 /opt/ds_agent/のキーをテストしています。

    • Debian 11の場合、mokutil は機能しません。代わりに keyctl を使用します。 keyctl show %:.platform | grep 'Trend'

UEFIセキュアブートキーデータベースを使用してキーを登録する

次の手順は、Google Cloud PlatformでセキュアブートをサポートするOSを使用するエージェント適用できます。

  1. トレンドマイクロの公開鍵とともに、次の証明書を準備します( トレンドマイクロの公開鍵のダウンロードを参照)。

  2. gcloudコマンドラインツールを使用して カスタマイズイメージ を作成し、セキュアブート用の証明書を設定します。

    gcloudcomputeimages create [IMAGE_NAME] \

    --source-image =[SOURCE_IMAGE] \

    --source-image-project =[SOURCE_PROJECT] \

    --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS20_v2.der,./DS20.der,./DS12.der,./DS11.der [der / bin形式のその他の必要なキーをここに追加] \

    --guest-os-features=UEFI_COMPATIBLE

    コマンドおよびAPIの詳細については、最新のGoogle Cloud Platformのドキュメントを参照してください。

    上記のコマンドは、GCPの制限により、初期設定のコマンドを指定したコマンドにマージするのではなく、上書きします。必要に応じて、独自のキーを追加してください。

  3. セキュアブートを有効にして、カスタマイズしたイメージからインスタンスを作成します。

  4. キーが/ proc / keysに正常に登録されているかどうかを確認します。

    grep 'Trend' /proc/keys

カーネルに鍵を署名する

次の手順は、すべてに適用できますセキュアブートをサポートするOSを使用するエージェントOracle Linux 7 UEK R6カーネル(5.4.17+)およびOracle Linux 8 UEK R6カーネル(5.4.17+)。

  1. Signing Kernel Modules for Use with Secure Bootについては、Oracle Linuxヘルプセンターの手順に従ってください。

  2. セクション3.3(カーネルへのモジュール証明書の挿入とカーネルイメージへの署名(UEK R6のみ))に到達したら、コマンドに pubkey.der を入力する代わりに、DSキーとパス(たとえば、 ./DS20_v2.der)を入力して署名します。カーネルイメージに:

    sudo /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map$(uname -r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der

  3. 鍵がカーネル builtin_trusted_keys 鍵リングにリストされているかどうかを確認します。

    sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'

トレンドマイクロの公開鍵をアップデートする

次の状況では、トレンドマイクロの公開鍵をアップデートする必要があります。

1.エージェントがメジャーリリースにアップグレードされました。

Workload Security は、エージェントのメジャーリリース(たとえば、12.0および20.0)ごとに、トレンドマイクロのカーネルモジュールの公開鍵を更新します。エージェントを新しいメジャーリリースにアップグレードするときにセキュリティ機能が動作し続けるようにするには、セキュアブートが有効なLinuxコンピュータに新しい公開鍵を登録する必要があります。新しいパブリックキーが登録されるまで、オペレーティングシステムがアップグレードされたカーネルモジュールをロードしなかったため、 Workload Security コンソールに「エンジンオフライン」エラーメッセージが表示されることがあります。

2.公開鍵は期限切れです。

公開鍵のライフサイクルは、エージェントのライフサイクルと同じです。公開鍵は、拡張サポート(EOL)の終了時に期限切れになります。詳細については、 Deep Security LTSライフサイクル日 を参照してください。

DS20.derの公開鍵の有効期限が切れているが、 Deep Security 20のサポート期間が延長されている場合、トレンドマイクロは、エージェントのアップグレード時に登録する必要がある新しい鍵を作成します。

Key 有効期限
DS2022.der 2031年11月24日
DS20.der 2024年11月26日
DS20_v2.der 2026年10月24日

SuSE 15では5.3.18-24.34-default以降で必須
DS12.der 2024年11月26日
DS11_2022.der 2031年11月24日
DS11.der 2022年12月5日

3.Linuxカーネルの動作が変更されました。

まれに、カーネルモジュールのロードを確認するためのLinuxカーネルの挙動が変わることがあります。公開鍵を更新する必要があります。

たとえば、5.3.18-24.34-defaultの後にSuSE 15を使用すると、EKUコード署名チェックが追加され、DS20_v2.derキーが必要になります。