Ringkasan #

RELIANOID Edisi Enterprise mendukung penuh. UEFI Secure Boot melalui Linux standar shim + MOK (Kunci Pemilik Mesin) mekanisme.

Karena cara kepercayaan Secure Boot dibangun pada tingkat firmware, Secure Boot tidak dapat diaktifkan pada instalasi pertama.Diperlukan proses bootstrap yang singkat dan terkontrol.

Artikel ini menjelaskan prosedur yang direkomendasikan dan didukung untuk mengaktifkan Secure Boot pada RELIANOID Sistem Edisi Perusahaan.

Pertimbangan Desain Penting #

Kepercayaan Secure Boot harus dibangun sebelum kustomisasi. RELIANOID Kernel dapat melakukan booting.

Karena alasan ini:

• Sistem harus diinstal terlebih dahulu dengan dukungan EFI tetapi dengan Secure Boot dinonaktifkan.
• Setelah instalasi, RELIANOID Sertifikat Secure Boot telah terdaftar
• Secure Boot kemudian diaktifkan di firmware.

Ini adalah perilaku yang diharapkan, aman, dan sesuai, selaras dengan persyaratan keamanan UEFI dan shim.

Prasyarat #

• RELIANOID Edisi Perusahaan terinstal
• Sistem melakukan booting dalam mode UEFI.
• Secure Boot dinonaktifkan di firmware selama instalasi awal.
• Akses konsol tersedia (IPMI/iDRAC/iLO lokal atau jarak jauh)
• Alat terpasang mokutil ke sbsigntool di setiap RELIANOID Penyeimbang Beban dengan

  tepat instal mokutil sbsigntool

• RELIANOID Sertifikat Secure Boot sudah terpasang di: /usr/local/relianoid/share/secureboot/cert-mok.der (tersedia >= RELIANOID EE v8.5)

Langkah 1 — Instalasi RELIANOID dengan EFI (Secure Boot dinonaktifkan) #

Konfigurasi firmware untuk:

• Mode boot UEFI
• Secure Boot dinonaktifkan

Kemudian, instal RELIANOID Edisi Enterprise biasanya.

Terakhir, hidupkan sistem dan verifikasi mode EFI dengan perintah:

[ -d /sys/firmware/efi ] && echo "Mode UEFI dikonfirmasi"

Langkah 2 — Siapkan panggung RELIANOID Sertifikat MOK #

RELIANOID menyediakan sertifikat Secure Boot yang sudah terpasang sebelumnya yang harus didaftarkan ke dalam shim.

Jalankan perintah berikut sebagai akar:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Kata sandi prompt #

Anda akan diminta untuk mengatur kata sandi pendaftaran satu kali:

Masukkan kata sandi: (masukkan kata sandi satu kali) Masukkan kata sandi lagi: (masukkan kembali kata sandi satu kali)

Kata sandi ini adalah sementara dan hanya akan digunakan satu kali selama masa pendaftaran.

Catatan: Simpan kata sandi ini — kata sandi ini diperlukan saat komputer dihidupkan ulang berikutnya.

Konfirmasi pendaftaran yang tertunda #

Konfirmasi dengan perintah:

mokutil --list-new

Langkah 3 — Mulai ulang dan daftarkan MOK di shim #

Mulai ulang sistem dengan perintah:

restart

Selama proses booting, sebelum sistem operasi dimuat, yang Manajer MOK (antarmuka shim) akan muncul.

Langkah-langkah pendaftaran #

1. Pilih Daftar MOK

   

2. Lihat Keterangan

   

3. Pilih Continue

   

4. Pilih Ya

   

5. Masukkan kata sandi yang dipilih pada Langkah 2
6. Konfirmasi dan mulai ulang

   

Tindakan ini mendaftarkan secara permanen RELIANOID Sertifikat Secure Boot ke dalam basis data MOK sistem tersebut.

Langkah 4 — Verifikasi pendaftaran MOK #

Setelah sistem berhasil melakukan booting ulang, verifikasi bahwa sertifikat telah terdaftar:

mokutil --daftar-terdaftar | memahami RELIANOID

Anda akan melihat entri yang mirip dengan:

Langkah 5 — Aktifkan Secure Boot di firmware #

1. Reboot sistem
2. Masuk ke pengaturan firmware (BIOS/UEFI)
3. Aktifkan Secure Boot
4. Simpan dan keluar

Langkah 6 — Verifikasi akhir #

Setelah Secure Boot diaktifkan, lakukan booting. RELIANOID dan konfirmasikan status Secure Boot:

mokutil --sb-state

Keluaran yang diharapkan:

SecureBoot diaktifkan

Pada saat ini:

• The RELIANOID kernel tepercaya
• Rantai boot telah divalidasi sepenuhnya.
• Secure Boot berfungsi.

Penyelesaian masalah #

Secure Boot diaktifkan tetapi sistem gagal melakukan booting. #

• Pastikan RELIANOID inti > = 6.1.159 dimuat dengan uname -r
• Memeriksa RELIANOID Pendaftaran sertifikat dengan mokutil --list-enrolled | grep RELIANOID
• Konfirmasikan bahwa sistem melakukan booting melalui shim (bukan GRUB langsung)

Layar MOK Manager tidak muncul. #

• Memastikan Secure Boot mengalami disabilitas selama pendaftaran
• Jalankan ulang mokutil --import Command
• Konfirmasikan visibilitas konsol selama proses reboot.

Catatan Keamanan #

• Pendaftaran MOK tidak dapat diotomatiskan tanpa konfirmasi pengguna.
• Perilaku ini diberlakukan oleh UEFI Secure Boot dan shim.
• Hal ini mencegah kunci yang tidak sah dipercaya secara diam-diam.

Proses ini sesuai dengan:

• Spesifikasi UEFI Secure Boot
• Model keamanan shim Linux
• Praktik terbaik Enterprise Secure Boot

Menghapus sertifikat MOK dari sistem #

Seorang yang sebelumnya terdaftar RELIANOID Penghapusan Kunci Pemilik Mesin (MOK) dapat dijadwalkan menggunakan perintah berikut:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Setelah menjalankan perintah ini:

1. Anda akan diminta untuk mengatur kata sandi sekali pakai.
2. Reboot sistem
3. Layar MOK Manager (shim) akan muncul selama proses booting.
4. Pilih Hapus MOK
5. Konfirmasikan penghapusan menggunakan kata sandi yang telah Anda tentukan.

Setelah selesai, sertifikat akan dihapus secara permanen dari basis data MOK sistem, dan biner yang ditandatangani dengan kunci tersebut tidak akan lagi dipercaya di bawah Secure Boot.

Penting: Operasi ini memerlukan pengaktifan Secure Boot dan akses fisik atau konsol untuk menyelesaikan konfirmasi selama proses reboot.