सुरक्षित बूट को कॉन्फ़िगर करना RELIANOID एंटरप्राइज़ संस्करण

  • ब्लॉग
  • सुरक्षित बूट को कॉन्फ़िगर करना RELIANOID एंटरप्राइज़ संस्करण

ज्ञानकोश

साइट विश्वसनीयता अनुभव

श्रेणियाँ देखें

सुरक्षित बूट को कॉन्फ़िगर करना RELIANOID एंटरप्राइज़ संस्करण

4 मिनट पढ़ा

विषय - सूची

अवलोकन #

RELIANOID एंटरप्राइज एडिशन पूरी तरह से समर्थन करता है यूईएफआई सिक्योर बूट मानक लिनक्स के माध्यम से शिम + एमओके (मशीन मालिक की कुंजी) तंत्र।

फर्मवेयर स्तर पर सिक्योर बूट ट्रस्ट स्थापित करने के तरीके के कारण, पहली बार इंस्टॉलेशन के दौरान सिक्योर बूट को सक्षम नहीं किया जा सकता है।एक संक्षिप्त, नियंत्रित बूटस्ट्रैप प्रक्रिया आवश्यक है।

यह लेख समझाता है अनुशंसित और समर्थित प्रक्रिया सुरक्षित बूट को सक्षम करने के लिए RELIANOID एंटरप्राइज एडिशन सिस्टम।

महत्वपूर्ण डिजाइन संबंधी विचार #

कस्टम प्रक्रिया से पहले सिक्योर बूट ट्रस्ट स्थापित किया जाना चाहिए। RELIANOID कर्नेल बूट हो सकता है।

इस कारण से:

  • प्रणाली इसे पहले EFI सपोर्ट के साथ इंस्टॉल किया जाना चाहिए, लेकिन सिक्योर बूट को डिसेबल करके।
  • स्थापना के बाद, RELIANOID सिक्योर बूट प्रमाणपत्र पंजीकृत है
  • इसके बाद फर्मवेयर में सिक्योर बूट सक्षम किया जाता है।

यह वह जगह है अपेक्षित, सुरक्षित और अनुपालनपूर्ण व्यवहारUEFI और शिम सुरक्षा आवश्यकताओं के अनुरूप।

.. पूर्वापेक्षाएँ #

  • RELIANOID एंटरप्राइज एडिशन स्थापित किया गया
  • सिस्टम यूईएफआई मोड में बूट हो रहा है
  • प्रारंभिक इंस्टॉलेशन के दौरान फर्मवेयर में सिक्योर बूट को डिसेबल कर दिया जाता है।
  • कंसोल एक्सेस उपलब्ध है (स्थानीय या रिमोट IPMI/iDRAC/iLO)
  • उपकरण स्थापित किए गए मोकुटिल और एसबीसाइनटूल सभी में RELIANOID लोड बैलेंसर के साथ 
    उपयुक्त इंस्टॉल मोकुटिल sbsigntool
  • RELIANOID सिक्योर बूट प्रमाणपत्र पहले से ही स्थापित है: /usr/local/relianoid/share/secureboot/cert-mok.der (उपलब्ध >= RELIANOID ईई v8.5)

चरण 1 — इंस्टॉल करें RELIANOID EFI के साथ (सुरक्षित बूट अक्षम) #

फ़र्मवेयर को निम्न के लिए कॉन्फ़िगर करें:

  • UEFI बूट मोड
  • सुरक्षित बूट अक्षम

फिर, इंस्टॉल करें RELIANOID सामान्यतः एंटरप्राइज संस्करण।

अंत में, सिस्टम को बूट करें और निम्न कमांड का उपयोग करके EFI मोड को सत्यापित करें:

[ -d /sys/firmware/efi ] && echo "UEFI मोड की पुष्टि हो गई है"

चरण 2 — मंच तैयार करें RELIANOID एमओके प्रमाणपत्र #

RELIANOID यह एक पूर्व-स्थापित सुरक्षित बूट प्रमाणपत्र प्रदान करता है जिसे शिम में नामांकित किया जाना चाहिए।

निम्न कमांड को इस प्रकार चलाएँ: जड़:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

पासवर्ड शीघ्र #

आपको एक सेट करने के लिए कहा जाएगा एक बार का नामांकन पासवर्ड:

पासवर्ड दर्ज करें: (एक बार का पासवर्ड डालें) पासवर्ड दोबारा दर्ज करें: (एक बार का पासवर्ड दोबारा डालें)

यह पासवर्ड है अस्थायी और इसका उपयोग नामांकन के दौरान केवल एक बार किया जाएगा।

ध्यान दें: इस पासवर्ड को संभाल कर रखें — अगले रीबूट के समय इसकी आवश्यकता होगी।

लंबित नामांकन की पुष्टि करें #

इस कमांड से पुष्टि करें:

mokutil --list-new

चरण 3 — रीबूट करें और MOK को शिम में नामांकित करें #

सिस्टम को इस कमांड से रीबूट करें:

रिबूट

बूटिंग के दौरान, ऑपरेटिंग सिस्टम लोड होने से पहले, एमओके प्रबंधक (शिम इंटरफेस) दिखाई देगा।

नामांकन के चरण #

  1. चुनते हैं एमओके में नामांकन करें

    relianoid_secure_boot_enroll_mok

  2. कुंजी देखें

    relianoid_secure_boot_view_key

  3. चुनते हैं जारी रखें

    relianoid_secure_boot_enroll_mok_continue

  4. चुनते हैं हाँ

    relianoid_secure_boot_enroll_mok_confirm

  5. चरण 2 में चुना गया पासवर्ड दर्ज करें
  6. पुष्टि करें और रीबूट करें

    relianoid_secure_boot_enroll_mok_reboot

इस कार्रवाई से स्थायी रूप से नामांकन हो जाता है RELIANOID सुरक्षित बूट प्रमाणपत्र सिस्टम के एमओके डेटाबेस में।

चरण 4 — एमओके नामांकन का सत्यापन करें #

सिस्टम के सफलतापूर्वक रीबूट होने के बाद, सत्यापित करें कि प्रमाणपत्र पंजीकृत हो गया है:

मोकुटिल--सूची-नामांकित | ग्रेप RELIANOID

आपको कुछ इस तरह की प्रविष्टि दिखाई देगी:

relianoid_secure_boot_mok_list_enrolled

चरण 5 — फर्मवेयर में सुरक्षित बूट सक्षम करें #

  1. सिस्टम रीबूट करें
  2. फ़र्मवेयर (BIOS/UEFI) सेटअप दर्ज करें
  3. सक्षम सुरक्षित बूट
  4. सुरषित और बहार

चरण 6 — अंतिम सत्यापन #

एक बार सिक्योर बूट सक्षम हो जाने पर, बूट करें RELIANOID और सिक्योर बूट स्थिति की पुष्टि करें:

mokutil --sb-state

अपेक्षित उत्पादन:

सिक्योरबूट सक्षम

इस समय:

  • RSI RELIANOID कर्नेल विश्वसनीय है
  • बूट चेन पूरी तरह से मान्य है
  • सिक्योर बूट चालू है

समस्या निवारण #

सिक्योर बूट सक्षम है लेकिन सिस्टम बूट होने में विफल रहता है #

  • सुनिश्चित करें RELIANOID गिरी > = ५ से भरा हुआ था uname -r
  • सत्यापित करें RELIANOID प्रमाणपत्र नामांकन के साथ mokutil --list-enrolled | grep RELIANOID
  • पुष्टि करें कि सिस्टम शिम के माध्यम से बूट होता है (सीधे GRUB के माध्यम से नहीं)।

एमओके मैनेजर स्क्रीन दिखाई नहीं देती है #

  • सुनिश्चित करना सुरक्षित बूट नामांकन के दौरान अक्षम कर दिया गया था
  • पुनः चलाएँ mokutil --import आदेश
  • रिबूट के दौरान कंसोल की दृश्यता की पुष्टि करें

सुरक्षा नोट्स #

  • उपयोगकर्ता की पुष्टि के बिना एमओके नामांकन स्वचालित नहीं किया जा सकता है।
  • यह व्यवहार UEFI सिक्योर बूट और शिम द्वारा लागू किया जाता है।
  • यह अनधिकृत कुंजियों को चुपचाप विश्वसनीय होने से रोकता है।

यह प्रक्रिया निम्नलिखित के अनुरूप है:

  • UEFI सिक्योर बूट विनिर्देश
  • लिनक्स शिम सुरक्षा मॉडल
  • एंटरप्राइज़ सिक्योर बूट के सर्वोत्तम अभ्यास

सिस्टम से एमओके प्रमाणपत्र हटाना #

पहले से नामांकित RELIANOID मशीन ओनर की (एमओके) को हटाने के लिए निम्न कमांड का उपयोग करके शेड्यूल किया जा सकता है:

मोकुटिल --डिलीट /usr/local/relianoid/share/secureboot/cert-mok.der

इस कमांड को निष्पादित करने के बाद:

  1. आपको एक बार उपयोग होने वाला पासवर्ड सेट करने के लिए कहा जाएगा।
  2. सिस्टम रीबूट करें
  3. बूटिंग के दौरान एमओके मैनेजर (शिम) स्क्रीन दिखाई देगी।
  4. चुनते हैं एमओके हटाएं
  5. आपके द्वारा निर्धारित पासवर्ड का उपयोग करके विलोपन की पुष्टि करें

एक बार प्रक्रिया पूरी हो जाने पर, प्रमाणपत्र को सिस्टम के एमओके डेटाबेस से स्थायी रूप से हटा दिया जाएगा, और उस कुंजी के साथ हस्ताक्षरित बाइनरी फ़ाइलों को सिक्योर बूट के तहत अब विश्वसनीय नहीं माना जाएगा।

महत्वपूर्ण: इस ऑपरेशन के लिए सिक्योर बूट का सक्षम होना और रीबूट के दौरान पुष्टि पूरी करने के लिए भौतिक या कंसोल एक्सेस की आवश्यकता है।

📄 इस दस्तावेज़ को पीडीएफ प्रारूप में डाउनलोड करें #

    ई - मेल: *

    द्वारा संचालित बेटरडॉक्स