ビュー:
エージェント for Linuxの一部のバージョンは、互換性のあるUnified Extensible Firmware Interface (UEFI) セキュアブート
セキュアブートが有効になっている場合、コンピュータのLinuxカーネルは、各カーネルモジュールがロードされる前に、そのモジュールのPKI署名を確認します。署名のないカーネルモジュールや、署名が無効なモジュールはロードしません。次のエージェント機能により、カーネルモジュールがインストールされます。
  • 不正プログラム対策
  • Webレピュテーション
  • ファイアウォール
  • 変更監視
  • IPS
  • アプリケーションコントロール
したがって、セキュアブートでこれらの機能を使用する場合は、 トレンドマイクロの公開鍵これらのカーネルモジュールの署名を検証できるように、コンピュータのファームウェアに追加します。
方法はプラットフォームによって異なります。

トレンドマイクロの公開鍵をダウンロードする

セキュアブートコンピュータに登録する前に、カーネルモジュールの署名の検証に使用するトレンドマイクロの公開鍵をダウンロードする必要があります。公開鍵はDER形式でエンコードされます。
ヒント
ヒント
キーファイルのダウンロードに問題がある場合は、右クリックして [リンクを名前を付けて保存]を選択します。
  • DS2022.der SHA-256証明書ハッシュ:BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92
  • DS20_V2.der SHA-256証明書ハッシュ:B3 36 43 7B 12 B3 EB 6A 4E 4A 44 62 40 4F 1F BD 21 32 70 77 4C 33 7D 1C 5A 58 7C 99 83 F7 30 C7
注意
注意
カーネル5.3.18-24.34-default以降のSuSE 15にエージェントを配備する場合、DS20_v2.derカーネルモジュールの署名の検証が変更されたため、が必要です。
  • DS20.der SHA-256証明書ハッシュ:CB 44 47 C8 76 CF 28 79 2F 8E B6 76 F1 42 4B D4 93 82 70 0E 46 92 ED 69 83 0C C3 52 E9 E4 71 03
  • DS12.der SHA-256証明書ハッシュ:CB 44 47 C8 76 CF 28 79 2F 8E B6 76 F1 42 4B D4 93 82 70 0E 46 92 ED 69 83 0C C3 52 E9 E4 71 03
  • DS11_2022.der SHA-256証明書ハッシュ:BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92
    注意
    注意
    エージェントバージョン11の古い公開鍵 (DS11.der SHA-1ハッシュを使用7D 96 56 5C 3A 77 B7 A7 24 49 D5 6A A5 0C 28 AA D7 3B 0B FB ) の有効期限は2022年12月5日です。この日以降も引き続きエージェントを使用するには、この新しい公開鍵を登録する必要があります。そうしないと、コンソールに「エンジンがオフラインです」というエラーメッセージが表示され、コンピュータが保護されません。
また、トレンドマイクロの公開鍵の署名チェーンを検証するために必要な中間認証局 (CA) 証明書をダウンロードする必要があります。 MicrosoftがこれらのCA証明書をアップデートする場合は、新しい証明書を使用する必要があります。 CA証明書は、DER形式でエンコードされたX.509 v3 CRTファイルです。
  • MicWinProPCA2011_2011-10-19.crt Microsoft Windows製品版PCA 2011 SHA-256証明書ハッシュ:E8 E9 5F 07 33 A5 5E 8B AD 7B E0 A1 41 3E E2 3C 51 FC EA 64 B3 C8 FA 6A 78 69 35 FD DC C7 19 61
  • MicCorUEFCA2011_2011-06-27.crtMicrosoft Corporation UEFI CA 2011 SHA-256証明書ハッシュ:48 E9 9B 99 1F 57 FC 52 F7 61 49 59 9B FF 0A 58 C4 71 54 22 9B 9F 8D 60 3A C4 0D 35 00 24 85 07
  • MicCorKEKCA2011_2011-06-24.crtMicrosoft Corporation KEK CA 2011 SHA-256証明書ハッシュ:A1 11 7F 51 6A 32 CE FC BA 3F 2D 1A CE 10 A8 79 72 FD 6B BE 8F E0 D0 B9 96 E0 9E 65 D8 02 A5 03

トレンドマイクロの公開鍵をアップデートする

特定のシナリオでは、トレンドマイクロの署名付きカーネルモジュールの登録済み公開鍵をアップデートする必要があります。
シナリオ
説明
エージェントを新しいメジャーリリースにアップグレードする場合
エージェントのすべてのメジャーリリース ( エージェント 12.0およびトレンドマイクロなど) では、セキュアブートカーネルモジュールの署名の公開鍵が更新されます。新しいカーネルモジュールの署名は、古い公開鍵では検証できません。そのため、 エージェントをアップグレードする場合は、新しい公開鍵も登録する必要があります。
公開鍵の有効期限が切れています
公開鍵は、Agentの延長サポートライフサイクル (EOL) の終了時に有効期限が切れます。こちらもご覧くださいDeep Security LTSのライフサイクルの日付
トレンドマイクロは新しいEOL日と一致する新しい公開鍵を作成します。古い公開鍵を新しいものに置き換えてから、 エージェントをアップグレードする必要があります。
キー
有効期限
DS2022.der
2031年11月24日
DS20.der
2024年11月26日
DS20_v2.der
2026年10月24日 5.3.18-24.34-default以降のSuSE 15に必要
DS12.der
2024年11月26日
DS11_2022.der
2031年11月24日
DS11.der
2022年12月5日
Linuxカーネルモジュールの署名検証が変更されました
Linuxカーネルをアップデートすると、カーネルモジュールの署名の検証方法が変更される場合があります。登録済みの公開鍵を置き換える必要がある場合があります。
たとえば、SuSE 15では、カーネルバージョン5.3.18-24.34-defaultにEKUコード署名検証が追加されましたが、これには新しいバージョンの公開鍵が必要でした。DS20_v2.der
警告
警告
これらのいずれかの理由でセキュアブートの公開鍵が無効になり、その公開鍵を置き換えないと、「エンジンがオフラインです」というエラーメッセージがコンソールに表示され、コンピュータが保護されなくなります。

AWSのセキュアブートキーの登録

  1. 必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵
  2. プラットフォームキーがない場合は、AWSのドキュメントを参照してください。セキュアブートプラットフォームキーを生成する
    警告
    警告
    [起動時にロードされるすべてのデバイス] のファームウェア (GPUなど) にアクセスできる場合にのみ、プラットフォームキーを置き換えてください。新しいプラットフォームキーを使用するようにファームウェアの署名チェーンをアップデートできない場合、セキュアブートによってインスタンスが完全に起動できなくなる可能性があります。
  3. セキュアブートをサポートするLinuxディストリビューションのAMIからEC2仮想マシンインスタンスを作成します。
  4. そのインスタンスのコンソールで、Machine Owner Key (MOK) コマンドをインストールします。mokutil ,uefivars、およびPython。たとえば、Red Hat Enterprise Linuxでは、次のコマンドを入力します。
    yum install mokutil yum install python3 curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip unzip uefivars.zip
    DebianまたはUbuntuでは、次のコマンドを入力します。
    sudo apt-get update sudo apt-get install efitools sudo apt-get install python3 curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip unzip uefivars.zip
  5. CA証明書とトレンドマイクロの公開鍵をインスタンスにアップロードします。
  6. プラットフォームキー、CA証明書、トレンドマイクロの各公開キーをUEFI署名リスト (.esl ) ファイルを選択します。それらを1つのファイルに結合し、バイナリファイルに変換します (.bin ) 形式です。たとえば、使用するトレンドマイクロの公開鍵に応じて、次のコマンドを入力します。
    # Convert your platform key into signatures list format cert-to-efi-sig-list YOUR_PLATFORM_KEY.crt YOUR_PLATFORM_KEY.esl # Convert CA certificates sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_KEK.esl MicCorKEKCA2011_2011-06-24.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_PROD.esl MicWinProPCA2011_2011-10-19.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_UEFI.esl MicCorUEFCA2011_2011-06-27.crt # Convert Trend Micro public keys sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS11.esl DS11_2022.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS12.esl DS12.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS20.esl DS20.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS20_v2.esl DS20_v2.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS2022.esl DS2022.der # Combine CA and vendor public keys into one signatures list cat MS_CA_PROD.esl MS_CA_UEFI.esl TREND_UEFI_db_DS11.esl TREND_UEFI_db_DS12.esl TREND_UEFI_db_DS20.esl TREND_UEFI_db_DS20_v2.esl TREND_UEFI_db_DS2022.esl > ALL_SIGNATURES_db.esl cp *.esl /root/ # Combine all and convert to binary ./python-uefivars-main/uefivars.py -i none -o aws -O YOUR_BINARY_SIGNING_CHAIN.bin -P ./YOUR_PLATFORM_KEY.esl -K ./MS_CA_KEK.esl --db ./ALL_SIGNATURES_db.esl
    どこで77fa9abd-0359-4d32-bd60-28f4e78f784bSignatureOwnerMicrosoft Corporation KEK CA 2011証明書のフィールド。
  7. ダウンロード.binファイル。
  8. インスタンスの新しいEC2スナップショットを作成します。
  9. [AWS Cloudshell] に移動します。選択[処理] [ファイル] [ファイルをアップロード]をクリックし、バイナリファイルを選択します。
  10. スナップショットIDを使用して新しいAMIを作成し、.binアップロードしたファイル。たとえば、次のコマンドを入力できます。
    aws ec2 register-image --name LIFT-UBUNTU20SecureBootX64 --uefi-data $(cat YOUR_BINARY_SIGNING_CHAIN.bin) --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId={{YOUR-SNAPSHOT-ID}},DeleteOnTermination=true}" --architecture x86_64 --root-device-name /dev/sda1 --virtualization-type hvm --boot-mode uefi
  11. カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
  12. キーがMOKリストに正常に登録されていることを確認します。
    mokutil --db | grep Trend
    カーネルがトレンドマイクロの公開鍵を正常にロードしたことを確認します。
    dmesg | grep cert

Google Cloud Platformのセキュアブートキーを登録する

  1. 必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵
  2. プラットフォームキーをお持ちでない場合は、Google Cloud Platformのドキュメントを参照してください。セキュアブートプラットフォームキーを生成する
    警告
    警告
    [起動時にロードされるすべてのデバイス (GPUなど)。] のファームウェアにアクセスできる場合にのみプラットフォームキーを交換する 新しいプラットフォームキーを使用するようにファームウェアの署名チェーンをアップデートできない場合、セキュアブートによってインスタンスが完全に起動できなくなる可能性があります。
  3. 作成カスタマイズされた仮想マシンイメージセキュアブートで使用されるCA証明書とトレンドマイクロの公開鍵を使用します。たとえば、次のコマンドを入力できます。
    gcloud compute images create [IMAGE_NAME] \ --source-image=[SOURCE_IMAGE] \ --source-image-project=[SOURCE_PROJECT] \ --platform-key-file=YOUR_PLATFORM_KEY.der \ --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS2022.der,./DS20_v2.der,./DS20.der,./DS12.der,./DS11_2022.der[,OTHER_EXISTING_KEYS] \ --guest-os-features=UEFI_COMPATIBLE
    公開鍵はDERまたはBIN形式である必要があります。それぞれをカンマ (,)。コマンドの使用方法とAPIの詳細については、Google Cloud Platformのドキュメントを参照してください。
    警告
    警告
    このコマンドを入力するときは、既存の有効なセキュアブートキーをすべて含めます。このコマンドは、既存のすべてのキーを [上書き] します。これらを含めない場合、それらは削除され、カーネルモジュールはロードされません。
  4. カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
  5. キーが正常に登録されたことを確認します。
    grep 'Trend' /proc/keys

VMware vSphereまたは物理コンピュータのセキュアブートキーの登録

ヒント
ヒント
多くのコンピュータでセキュアブートを使用する場合は、この手順の完了後に仮想マシンまたはOSイメージファイルを作成します。そのファイルから新しいコンピュータをインストールできます。
注意
注意
UEK R6U3より前のOracle Linuxを使用しているコンピュータの場合は、この手順を使用しないでください。代わりに、 Oracle Linux用のセキュアブートキーの登録
  1. 必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵
  2. プラットフォームキーがない場合は、Linuxディストリビューションのドキュメントを参照してセキュアブートプラットフォームキーを生成してください。
    警告
    警告
    [起動時にロードされるすべてのデバイス (GPUなど)。] のファームウェアにアクセスできる場合にのみプラットフォームキーを交換する 新しいプラットフォームキーを使用するようにファームウェアの署名チェーンをアップデートできない場合、セキュアブートによってコンピュータが完全に起動できなくなる可能性があります。
  3. セキュアブートを有効にするコンピュータで、コンピュータ所有者キー (MOK) コマンドをインストールします。mokutil。たとえば、Red Hat Enterprise Linuxでは、次のコマンドを入力します。
    yum install mokutil
    DebianまたはUbuntuでは、次のコマンドを入力します。
    sudo apt-get update sudo apt-get install efitools
  4. トレンドマイクロの公開鍵をMOKリストに追加します。複数のキー (必要な場合) はスペースで区切ります。例:
    mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der
    プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。
  5. コンピュータを再起動します。
  6. コンピュータが再起動すると、Shim UEFIキー管理コンソールが開きます。続行するには、任意のキーを押してください。
  7. オンPerform MOK management画面、選択Enroll MOK
  8. 選択View key X公開鍵の証明書ハッシュを確認する必要がある場合。任意のキーを押すと、Enroll MOK画面に表示されます。
  9. 選択ContinueEnroll the key(s)?画面に表示されます。
  10. 選択Yesをクリックし、前に入力したパスワードを入力します。
  11. オンThe system must now be rebooted画面、選択OKをクリックして変更を確認し、再起動します。
  12. キーがMOKリストに正常に登録されていることを確認します。
    • ほとんどのオペレーティングシステムでは、次のコマンドを入力します。mokutil --test-key /opt/ds_agent/${certificate_file}.der
    • Debian 11では、次のコマンドを入力します。keyctl show %:.platform | grep 'Trend'

Oracle Linux用のセキュアブートキーの登録

Oracle Linux [UEK R6U3より前のUEK R6リリース]では、セキュアブートに必要な手順が若干異なります。 Unbreakable Enterprise Kernel (UEK) を使用すると、カーネルは組み込みのキーリングにあるキーのみを信頼します。このため、トレンドマイクロの公開鍵を使用してカーネルを再コンパイルする必要があります。これによりカーネル自体が変更されるため、新しいカーネルブートイメージにも署名する必要があります。
  1. 必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵
  2. Oracle Linuxのドキュメントに従ってください。セキュアブートで使用するカーネルイメージとカーネルモジュールへの署名
  3. のステップに到達したときカーネルイメージへのモジュール証明書の挿入、置換pubkey.derトレンドマイクロの公開鍵の名前を付けます。例:
    sudo /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map$(uname -r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der
  4. 残りの手順を続行して、カーネルブートイメージに署名します。
  5. キーがbuiltin_trusted_keysキーリング:
    sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'