エージェントのLinuxセキュアブートの設定

ビュー:

エージェント for Linuxの一部のバージョンは、互換性のあるでUnified Extensible Firmware Interface (UEFI) セキュアブート。

セキュアブートが有効になっている場合、コンピュータのLinuxカーネルは、各カーネルモジュールがロードされる前に、そのモジュールのPKI署名を確認します。署名のないカーネルモジュールや、署名が無効なモジュールはロードしません。次のエージェント機能により、カーネルモジュールがインストールされます。

不正プログラム対策
Webレピュテーション
ファイアウォール
変更監視
IPS
アプリケーションコントロール

したがって、セキュアブートでこれらの機能を使用する場合は、トレンドマイクロの公開鍵これらのカーネルモジュールの署名を検証できるように、コンピュータのファームウェアに追加します。

方法はプラットフォームによって異なります。

AWSのセキュアブートキーの登録
Google Cloud Platformのセキュアブートキーを登録する
VMware vSphereまたは物理コンピュータのセキュアブートキーの登録
Oracle Linux用のセキュアブートキーの登録

トレンドマイクロの公開鍵をダウンロードする

セキュアブートコンピュータに登録する前に、カーネルモジュール署名を検証するために使用されるトレンドマイクロの公開鍵をまずダウンロードする必要があります。公開鍵はDER形式でエンコードされています。キーファイルのダウンロードに問題がある場合は、右クリックして[Save Link As]を選択してください。

DS2022.der SHA-256証明書ハッシュ:BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92
DS20_V2.der SHA-256証明書ハッシュ:B3 36 43 7B 12 B3 EB 6A 4E 4A 44 62 40 4F 1F BD 21 32 70 77 4C 33 7D 1C 5A 58 7C 99 83 F7 30 C7

カーネル5.3.18-24.34-default以降のSuSE 15にエージェントを配備する場合、DS20_v2.derカーネルモジュールの署名の検証が変更されたため、が必要です。

DS20.der SHA-256証明書ハッシュ:CB 44 47 C8 76 CF 28 79 2F 8E B6 76 F1 42 4B D4 93 82 70 0E 46 92 ED 69 83 0C C3 52 E9 E4 71 03
DS12.der SHA-256証明書ハッシュ:CB 44 47 C8 76 CF 28 79 2F 8E B6 76 F1 42 4B D4 93 82 70 0E 46 92 ED 69 83 0C C3 52 E9 E4 71 03
DS11_2022.der SHA-256証明書ハッシュ:BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92

エージェントバージョン11の古い公開鍵 (DS11.der SHA-1ハッシュを使用7D 96 56 5C 3A 77 B7 A7 24 49 D5 6A A5 0C 28 AA D7 3B 0B FB ) の有効期限は2022年12月5日です。この日以降も引き続きエージェントを使用するには、この新しい公開鍵を登録する必要があります。そうしないと、コンソールに「エンジンがオフラインです」というエラーメッセージが表示され、コンピュータが保護されません。

また、トレンドマイクロの公開鍵の署名チェーンを検証するために必要な中間認証局 (CA) 証明書をダウンロードする必要があります。 MicrosoftがこれらのCA証明書をアップデートする場合は、新しい証明書を使用する必要があります。 CA証明書は、DER形式でエンコードされたX.509 v3 CRTファイルです。

MicWinProPCA2011_2011-10-19.crt Microsoft Windows製品版PCA 2011 SHA-256証明書ハッシュ:E8 E9 5F 07 33 A5 5E 8B AD 7B E0 A1 41 3E E2 3C 51 FC EA 64 B3 C8 FA 6A 78 69 35 FD DC C7 19 61
MicCorUEFCA2011_2011-06-27.crtMicrosoft Corporation UEFI CA 2011 SHA-256証明書ハッシュ:48 E9 9B 99 1F 57 FC 52 F7 61 49 59 9B FF 0A 58 C4 71 54 22 9B 9F 8D 60 3A C4 0D 35 00 24 85 07
MicCorKEKCA2011_2011-06-24.crtMicrosoft Corporation KEK CA 2011 SHA-256証明書ハッシュ:A1 11 7F 51 6A 32 CE FC BA 3F 2D 1A CE 10 A8 79 72 FD 6B BE 8F E0 D0 B9 96 E0 9E 65 D8 02 A5 03

トレンドマイクロの公開鍵をアップデートする

特定のシナリオでは、トレンドマイクロの署名付きカーネルモジュールの登録済み公開鍵をアップデートする必要があります。

エージェントを新しいメジャーリリースにアップグレードする場合

エージェントのすべてのメジャーリリース ( エージェント 12.0およびトレンドマイクロなど) では、セキュアブートカーネルモジュールの署名の公開鍵が更新されます。新しいカーネルモジュールの署名は、古い公開鍵では検証できません。そのため、エージェントをアップグレードする場合は、新しい公開鍵も登録する必要があります。

公開鍵の有効期限が切れました

トレンドマイクロがサポート終了日を延長する場合、トレンドマイクロは新しいサポート終了日に対応する新しい公開鍵を作成します。古い公開鍵を新しいものに置き換え、その後エージェントをアップグレードする必要があります。

注意

上記のいずれかの理由でSecure Bootの公開鍵が無効になり、それを交換しない場合、コンソールにEngine Offlineメッセージが表示され、コンピュータが保護されなくなる可能性があります。

Deep Security エージェント 20がSecure Bootを使用するには、DS2022.der、DS20_V2.der、およびDS20.derキーを登録することが不可欠です。

エージェントのバージョン	キー	有効期限	注釈
20	DS2022.der	2031年11月24日	新しい交換キーは、有効期限の1年前にリリースされる予定です。
	DS20.der	2024年11月26日	DS20.derは有効期限が切れるとDS2022.derに置き換えられます。DS20.derの有効期限が切れる前にDS2022.derを登録してください。
	DS20_v2.der	2026年10月24日 5.3.18-24.34-default以降のSuSE 15に必要	5.3.18-24.34-default以降のSUSE 15カーネルに必要です。 DS20_V2.derは有効期限が切れるとDS2022.derに置き換えられます。DS20_V2.derの有効期限が切れる前にDS2022.derを登録してください。
12	DS12.der	2024年11月26日	DS12.derは有効期限が切れるとDS2022.derに置き換えられます。DS12.derの有効期限前にDS2022.derを登録してください。
11	DS11_2022.der	2031年11月24日
11	DS11.der	2022年12月5日

Linuxカーネルモジュールの署名検証が変更されました

Linuxカーネルを更新すると、カーネルモジュール署名を検証する方法が変更される場合があります。これにより、登録された公開鍵を置き換える必要があるかもしれません。例えば、SuSE 15はカーネルバージョン5.3.18-24.34-defaultで拡張キー使用法（EKU）コード署名検証を追加し、新しい公開鍵バージョンDS20_v2.derが必要になりました。

AWSのセキュアブートキーの登録

必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵。
プラットフォームキーを持っていない場合は、AWS のドキュメントを参照して Secure Boot プラットフォームキーを生成してください。プラットフォームキーを置き換えるのは、[all devices that are loaded during boot]（例えば、GPU）のファームウェアにアクセスできる場合のみです。新しいプラットフォームキーを使用するようにファームウェアの署名チェーンを更新できない場合、Secure Boot によりインスタンスが永久に起動できなくなる可能性があります。
セキュアブートをサポートするLinuxディストリビューションのAMIからEC2仮想マシンインスタンスを作成します。

そのインスタンスのコンソールで、Machine Owner Key (MOK) コマンドをインストールします。mokutil ,uefivars、およびPython。たとえば、Red Hat Enterprise Linuxでは、次のコマンドを入力します。

yum install mokutil yum install python3 curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip unzip uefivars.zip

DebianまたはUbuntuでは、次のコマンドを入力します。

sudo apt-get update sudo apt-get install efitools sudo apt-get install python3 curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip unzip uefivars.zip

CA証明書とトレンドマイクロの公開鍵をインスタンスにアップロードします。

プラットフォームキー、CA証明書、トレンドマイクロの各公開キーをUEFI署名リスト (.esl ) ファイルを選択します。それらを1つのファイルに結合し、バイナリファイルに変換します (.bin ) 形式です。たとえば、使用するトレンドマイクロの公開鍵に応じて、次のコマンドを入力します。

# Convert your platform key into signatures list format cert-to-efi-sig-list YOUR_PLATFORM_KEY.crt YOUR_PLATFORM_KEY.esl # Convert CA certificates sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_KEK.esl MicCorKEKCA2011_2011-06-24.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_PROD.esl MicWinProPCA2011_2011-10-19.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_UEFI.esl MicCorUEFCA2011_2011-06-27.crt # Convert Trend Micro public keys sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS11.esl DS11_2022.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS12.esl DS12.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS20.esl DS20.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS20_v2.esl DS20_v2.der sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS2022.esl DS2022.der # Combine CA and vendor public keys into one signatures list cat MS_CA_PROD.esl MS_CA_UEFI.esl TREND_UEFI_db_DS11.esl TREND_UEFI_db_DS12.esl TREND_UEFI_db_DS20.esl TREND_UEFI_db_DS20_v2.esl TREND_UEFI_db_DS2022.esl > ALL_SIGNATURES_db.esl cp *.esl /root/ # Combine all and convert to binary ./python-uefivars-main/uefivars.py -i none -o aws -O YOUR_BINARY_SIGNING_CHAIN.bin -P ./YOUR_PLATFORM_KEY.esl -K ./MS_CA_KEK.esl --db ./ALL_SIGNATURES_db.esl

どこで77fa9abd-0359-4d32-bd60-28f4e78f784bはSignatureOwnerMicrosoft Corporation KEK CA 2011証明書のフィールド。

ダウンロード.binファイル。
インスタンスの新しいEC2スナップショットを作成します。
[AWS Cloudshell] に移動します。選択[処理] → [ファイル] → [ファイルをアップロード]をクリックし、バイナリファイルを選択します。

スナップショットIDを使用して新しいAMIを作成し、.binアップロードしたファイル。たとえば、次のコマンドを入力できます。

aws ec2 register-image --name LIFT-UBUNTU20SecureBootX64 --uefi-data $(cat YOUR_BINARY_SIGNING_CHAIN.bin) --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId={{YOUR-SNAPSHOT-ID}},DeleteOnTermination=true}" --architecture x86_64 --root-device-name /dev/sda1 --virtualization-type hvm --boot-mode uefi

カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
キーがMOKリストに正常に登録されていることを確認します。
```
mokutil --db | grep Trend
```
カーネルがトレンドマイクロの公開鍵を正常にロードしたことを確認します。
```
dmesg | grep cert
```

Google Cloud Platformのセキュアブートキーを登録する

必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵。

プラットフォームキーをお持ちでない場合は、Google Cloud Platformのドキュメントを参照してください。セキュアブートプラットフォームキーを生成する。

警告

[起動時にロードされるすべてのデバイス (GPUなど)。] のファームウェアにアクセスできる場合にのみプラットフォームキーを交換する新しいプラットフォームキーを使用するようにファームウェアの署名チェーンをアップデートできない場合、セキュアブートによってインスタンスが完全に起動できなくなる可能性があります。

作成カスタマイズされた仮想マシンイメージセキュアブートで使用されるCA証明書とトレンドマイクロの公開鍵を使用します。たとえば、次のコマンドを入力できます。

gcloud compute images create [IMAGE_NAME] \ --source-image=[SOURCE_IMAGE] \ --source-image-project=[SOURCE_PROJECT] \ --platform-key-file=YOUR_PLATFORM_KEY.der \ --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS2022.der,./DS20_v2.der,./DS20.der,./DS12.der,./DS11_2022.der[,OTHER_EXISTING_KEYS] \ --guest-os-features=UEFI_COMPATIBLE

公開鍵はDERまたはBIN形式である必要があります。それぞれをカンマ (,)。コマンドの使用方法とAPIの詳細については、Google Cloud Platformのドキュメントを参照してください。

警告

このコマンドを入力するときは、既存の有効なセキュアブートキーをすべて含めます。このコマンドは、既存のすべてのキーを [上書き] します。これらを含めない場合、それらは削除され、カーネルモジュールはロードされません。

カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
キーが正常に登録されたことを確認します。
```
grep 'Trend' /proc/keys
```

VMware vSphereまたは物理コンピュータのセキュアブートキーの登録

ヒント

多くのコンピュータでセキュアブートを使用する場合は、この手順の完了後に仮想マシンまたはOSイメージファイルを作成します。そのファイルから新しいコンピュータをインストールできます。

注意

UEK R6U3より前のOracle Linuxを使用しているコンピュータの場合は、この手順を使用しないでください。代わりに、 Oracle Linux用のセキュアブートキーの登録。

必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵。

プラットフォームキーがない場合は、Linuxディストリビューションのドキュメントを参照してセキュアブートプラットフォームキーを生成してください。

警告

[起動時にロードされるすべてのデバイス (GPUなど)。] のファームウェアにアクセスできる場合にのみプラットフォームキーを交換する新しいプラットフォームキーを使用するようにファームウェアの署名チェーンをアップデートできない場合、セキュアブートによってコンピュータが完全に起動できなくなる可能性があります。

セキュアブートを有効にするコンピュータで、コンピュータ所有者キー (MOK) コマンドをインストールします。mokutil。たとえば、Red Hat Enterprise Linuxでは、次のコマンドを入力します。
```
yum install mokutil
```
DebianまたはUbuntuでは、次のコマンドを入力します。
```
sudo apt-get update sudo apt-get install efitools
```
トレンドマイクロの公開鍵をMOKリストに追加します。複数のキー (必要な場合) はスペースで区切ります。例:
```
mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der /opt/ds_agent/DS20.der
```
プロンプトが表示されたら、この手順で後に使用するパスワードを入力します。
コンピュータを再起動します。
コンピュータが再起動すると、Shim UEFIキー管理コンソールが開きます。続行するには、任意のキーを押してください。
オンPerform MOK management画面、選択Enroll MOK。
選択View key X公開鍵の証明書ハッシュを確認する必要がある場合。任意のキーを押すと、Enroll MOK画面に表示されます。
選択ContinueにEnroll the key(s)?画面に表示されます。
選択Yesをクリックし、前に入力したパスワードを入力します。
オンThe system must now be rebooted画面、選択OKをクリックして変更を確認し、再起動します。
キーがMOKリストに正常に登録されていることを確認します。
- ほとんどのオペレーティングシステムでは、次のコマンドを入力します。mokutil --test-key /opt/ds_agent/${certificate_file}.der
- Debian 11では、次のコマンドを入力します。keyctl show %:.platform | grep 'Trend'

Oracle Linux用のセキュアブートキーの登録

Oracle Linux [UEK R6U3より前のUEK R6リリース]では、セキュアブートに必要な手順が若干異なります。 Unbreakable Enterprise Kernel (UEK) を使用すると、カーネルは組み込みのキーリングにあるキーのみを信頼します。このため、トレンドマイクロの公開鍵を使用してカーネルを再コンパイルする必要があります。これによりカーネル自体が変更されるため、新しいカーネルブートイメージにも署名する必要があります。

必要なセキュアブート用のCA証明書とトレンドマイクロの公開鍵。
Oracle Linuxのドキュメントに従ってください。セキュアブートで使用するカーネルイメージとカーネルモジュールへの署名。
のステップに到達したときカーネルイメージへのモジュール証明書の挿入、置換pubkey.derトレンドマイクロの公開鍵の名前を付けます。例:
```
sudo /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map$(uname -r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der
```
残りの手順を続行して、カーネルブートイメージに署名します。

キーがbuiltin_trusted_keysキーリング:

sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'