配置安全启动 RELIANOID 企业版

  • 博客
  • 配置安全启动 RELIANOID 企业版

知识库

站点可靠性体验

查看类别

配置安全启动 RELIANOID 企业版

4分钟简报

目录

概述 #

RELIANOID 企业版完全支持 UEFI安全启动 通过标准 Linux 垫片 + MOK(机器所有者钥匙) 机制。

由于安全启动信任是在固件级别建立的, 首次安装时无法启用安全启动需要一个简短、可控的引导过程。

这篇文章解释了 推荐和支持的程序 启用安全启动 RELIANOID 企业版系统。

重要设计考虑因素 #

必须在自定义操作之前建立安全启动信任。 RELIANOID 内核可以启动。

为此原因:

  • 该系统 必须先安装支持 EFI 的固件,但禁用安全启动。
  • 安装后, RELIANOID 安全启动证书已注册
  • 然后固件中启用安全启动。

这是 预期的、安全的、合规的行为符合 UEFI 和 shim 安全要求。

硬件需求 #

  • RELIANOID 企业版已安装
  • 系统以 UEFI 模式启动
  • 初始安装期间,固件中已禁用安全启动。
  • 可通过控制台访问(本地或远程 IPMI/iDRAC/iLO)
  • 已安装的工具 莫库蒂尔sbsigntool 在每一个 RELIANOID 负载均衡器 
    apt 安装 mokutil sbsigntool
  • RELIANOID 安全启动证书已安装在: /usr/local/relianoid/share/secureboot/cert-mok.der (可用 >= RELIANOID EE v8.5)

步骤 1 — 安装 RELIANOID 启用 EFI(安全启动已禁用) #

配置固件:

  • UEFI启动模式
  • 安全启动已禁用

然后,安装 RELIANOID 企业版通常如此。

最后,启动系统并使用以下命令验证 EFI 模式:

[ -d /sys/firmware/efi ] && echo "UEFI 模式已确认"

步骤 2 — 准备 RELIANOID MOK证书 #

RELIANOID 提供预安装的安全启动证书,必须将其注册到 shim 中。

运行以下命令 :

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

密码提示 #

您将被要求设置一个 一次性注册密码:

输入密码:(输入一次性密码)再次输入密码:(再次输入一次性密码)

密码是 临时 并且仅在注册期间使用一次。

注意:请妥善保管此密码——下次重启时需要用到。

确认待处理的注册 #

使用以下命令确认:

mokutil --list-new

步骤 3 — 重启并将 MOK 注册到 shim 中 #

使用以下命令重启系统:

重新启动

启动过程中, 在操作系统加载之前MOK经理 (垫片接口)将会出现。

注册步骤 #

  1. 从我们的数据库中通过 UL Prospector 平台选择 注册 MOK

    relianoid_secure_boot_enroll_mok

  2. 查看密钥

    relianoid_secure_boot_view_key

  3. 从我们的数据库中通过 UL Prospector 平台选择 继续

    relianoid_secure_boot_enroll_mok_continue

  4. 从我们的数据库中通过 UL Prospector 平台选择

    relianoid_secure_boot_enroll_mok_confirm

  5. 输入在步骤 2 中选择的密码。
  6. 确认并重启

    relianoid_secure_boot_enroll_mok_reboot

此操作将永久注册 RELIANOID 安全启动证书 导入系统的 MOK 数据库。

步骤 4 — 核实 MOK 注册情况 #

系统重启成功后,请验证证书是否已注册:

mokutil --列表注册 | grep RELIANOID

您应该会看到类似这样的条目:

relianoid_secure_boot_mok_list_enrolled

步骤 5 — 在固件中启用安全启动 #

  1. 重新启动系统
  2. 进入固件(BIOS/UEFI)设置
  3. 启用 安全启动
  4. 保存并退出

步骤 6 — 最终验证 #

启用安全启动后,即可启动 RELIANOID 并确认安全启动状态:

mokutil --sb-state

预期输出:

已启用安全启动

这一点:

  • 此 RELIANOID 内核是可信的
  • 启动链已完全验证。
  • 安全启动已启动

故障排除 #

已启用安全启动,但系统启动失败 #

  • 确保 RELIANOID 核心 > = 6.1.159 装载了 uname -r
  • 确认 RELIANOID 证书注册 mokutil --list-enrolled | grep RELIANOID
  • 确认系统通过 shim 启动(而不是直接通过 GRUB 启动)。

MOK管理器屏幕未显示 #

  • 确保 安全启动 注册期间被禁用
  • 重跑 mokutil --import 命令
  • 重启期间确认控制台可见性

安全说明 #

  • 未经用户确认,MOK注册无法自动进行。
  • 此行为由 UEFI 安全启动和 shim 强制执行。
  • 它可以防止未经授权的密钥被静默信任。

此流程符合以下规定:

  • UEFI 安全启动规范
  • Linux shim 安全模型
  • 企业安全启动最佳实践

从系统中移除 MOK 证书 #

先前已注册 RELIANOID 可以使用以下命令安排移除机器所有者密钥 (MOK):

mokutil --删除 /usr/local/relianoid/share/secureboot/cert-mok.der

执行此命令后:

  1. 系统会提示您设置一次性密码
  2. 重新启动系统
  3. 启动过程中将出现 MOK 管理器(shim)屏幕。
  4. 从我们的数据库中通过 UL Prospector 平台选择 删除 MOK
  5. 使用您设置的密码确认删除操作。

完成后,该证书将从系统的 MOK 数据库中永久删除,并且使用该密钥签名的二进制文件将不再受安全启动的信任。

重要提示:此操作需要启用安全启动,并且需要在重启期间通过物理访问或控制台完成确认。

📄 以 PDF 格式下载此文档 #

    电子邮件: *

    专利所有者 更好的文档