エージェントをインストールする前に、ソフトウェアのZIPパッケージとインストーラファイルのデジタル署名を確認する必要があります。正しいデジタル署名は、そのソフトウェアがトレンドマイクロからの正規品であり、破損や改ざんがないことを示します。
次のことを行う必要があります。
ソフトウェアのチェックサム、セキュリティ更新プログラムおよびエージェントモジュールのデジタル署名を検証することもできます。見る どうやってServer & Workload Protection更新の整合性を検証します。
ソフトウェアZIPパッケージの署名の確認
Deep Security Agentとオンラインヘルプは、ZIPパッケージで提供されます。これらのパッケージはデジタル署名されています。 ZIPファイルのデジタル署名は、次の方法で確認できます。
ManagerからZIPをエクスポートする
次の手順に従って ZIP ファイルをエクスポートします。エージェントインストーラーをエクスポートする。輸出の際には、Server & Workload Protection ZIP ファイルのデジタル署名をチェックします。サインがよければ、Server & Workload Protectionエクスポートを続行できるようになります。署名が間違っているか、存在しない場合は、Server & Workload Protectionアクションを禁止し、ZIP を削除し、イベントをログに記録します。
ZIPのプロパティファイルを表示する
手順
- Server & Workload Protection コンソールにログインします。
- 上部の [管理] をクリックします。
- 左側で展開します。 。
- デジタル署名を確認するZIPパッケージを見つけてダブルクリックします。
- ZIPファイルの [プロパティ] ページが開き、マネージャがデジタル署名を確認します。署名に問題がない場合は、 [署名] フィールドに緑色のチェックマークが表示されます。 (下の画像を参照)。署名に問題がある場合、または署名が存在しない場合、ManagerはZIPを削除してイベントをログに記録します。
次に進む前に
jarsignerを使用する
Managerで a ZIPの署名を確認できない場合は、jarsigner Javaユーティリティを使用して a ZIPの署名を確認します。たとえば、Manager以外のソースからエージェントのZIPパッケージを取得したとします。 Deep Securityソフトウェアエージェントを手動でインストールする必要がありました。このシナリオでは、Managerが関与しないため、jarsignerユーティリティを使用します。 jarsignerを使用して署名を確認するには
手順
- 最新のJava開発キットをクリックします。
- ZIPファイルをダウンロードします。
- 使用 jarsigner ユーティリティJDK 内で署名を確認します。コマンドは次のとおりです。
jarsigner -verify -verbose -certs -strict <ZIP_file>
例:jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
- エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。
次に進む前に
インストーラファイル (EXE、MSI、RPM、またはDEBファイル) の署名を確認します。
Deep Security AgentおよびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、WindowsではEXEまたはMSIファイル、Linuxオペレーティングシステム
(Amazon、CloudLinux、Oracle、Red Hat、およびSUSE)ではRPMファイル、DebianおよびUbuntuではDEBファイルです。
![]() |
注意次の手順では、インストーラファイルのデジタル署名を手動で確認する方法について説明します。このチェックを自動化する場合は、エージェント配信スクリプトに含めることができます。配置スクリプトの詳細については、を参照してください。インストールスクリプトを使用してコンピュータを追加および保護する。
|
確認するインストーラファイルの種類に対応する指示に従います。
EXEまたはMSIファイルの署名の確認
手順
- EXEまたはMSIファイルを右クリックし、 [プロパティ]を選択します。
- [デジタル署名] タブをクリックして、署名を確認します。
次に進む前に
RPMファイルの署名の確認
まず、GnuPGをインストールします
インストールGnuPG署名を確認するエージェントコンピュータにインストールされていない場合は、このユーティリティには、署名キーをインポートしてデジタル署名を確認するために必要なGPGコマンドラインツールが含まれています。
![]() |
注意GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。
|
次に、署名キーをインポートします。
手順
- を探します。
3trend_public.asc
エージェントのZIPファイルのルートフォルダにあります。 ASCファイルには、デジタル署名の検証に使用できるGPG公開署名鍵が含まれています。 - (オプション) 任意のハッシュユーティリティを使用して、 [ASC] ファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
(Agentバージョン20.0.0-2593以前の場合)bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
(Agentバージョン20.0.0-2971以降) - 署名を確認するエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。
注意
コマンドでは大文字と小文字が区別されます。gpg --import 3trend_public.asc
次のメッセージが表示されます。gpg: directory '/home/build/.gnupg' created gpg: new configuration file '/home/build/.gnupg/gpg.conf' created gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run gpg: keyring '/home/build/.gnupg/secring.gpg' created gpg: keyring '/home/build/.gnupg/pubring.gpg' created gpg: /home/build/.gnupg/trustdb.gpg: trustdb created gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
- ASC ファイルから GPG 公開署名キーをエクスポートします。
gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign
- GPG公開署名鍵をRPMデータベースにインポートします。
sudo rpm --import RPM-GPG-KEY-CodeSign
- GPG公開署名鍵がインポートされたことを確認します。
rpm -qa gpg-pubkey*
- インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロの製品は次のとおりです。
gpg-pubkey-e1051cbd-5b59ac99
(Agentバージョン20.0.0-2593以前の場合)gpg-pubkey-e1051cbd-6030cc3a
(Agentバージョン20.0.0-2971以降の場合) 署名キーがインポートされ、 エージェント RPMファイルのデジタル署名を確認するために使用できます。
次に進む前に
最後に、RPMファイルの署名を確認します
![]() |
ヒント以下で説明するように、RPMファイルの署名を手動で確認する代わりに、配信スクリプトで署名を確認できます。参照インストールスクリプトを使用してコンピュータを追加および保護する詳細については、
|
rpm -K Agent-PGPCore-<OS agent version>.rpm
例:rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
上記のコマンドを必ず実行してください。Agent-Core-<...>.rpm
ファイル。 (実行中Agent-Core-<...>.rpm
は動作しません。) が見つからない場合は、Agent-PGPCore-<...>.rpm
ファイルをエージェントZIP に保存する場合は、より新しい ZIP を使用する必要があります。具体的には、次のとおりです。- Deep Security Agent 11.0 Update 15以降のアップデート、または
- Deep Security Agent 12 Update 2以降
- Deep Security Agent 20以降 署名の検証に成功すると、次のメッセージが表示されます。
Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
DEBファイルの署名の確認
まず、dpkg-sigユーティリティをインストールします
インストールdpkg-sig署名を確認するエージェントコンピュータにインストールされていない場合は、このユーティリティには、署名キーをインポートしてデジタル署名を確認するために必要なGPGコマンドラインツールが含まれています。
次に、署名キーをインポートします。
手順
- を探します。
3trend_public.asc
エージェントのZIPファイルのルートフォルダにあります。 ASCファイルには、デジタル署名の検証に使用できるGPG公開署名鍵が含まれています。 - (オプション) 任意のハッシュユーティリティを使用して、 [ASC] ファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
(Agentバージョン20.0.0-2593以前の場合)bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae
(Agentバージョン20.0.0-2971以降) - 署名を確認するエージェントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用します。
gpg --import 3trend_public.asc
次のメッセージが表示されます。gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
- (オプション)トレンドマイクロのキー情報を表示します。次のコマンドを使用します。
gpg --list-keys
次のようなメッセージが表示されます。/home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25] uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com> sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25] uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com> sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]
次に進む前に
最後に、DEBファイルの署名を確認します
![]() |
ヒント以下で説明するように、DEBファイルの署名を手動で検証する代わりに、配置スクリプトで検証することができます。参照インストールスクリプトを使用してコンピュータを追加および保護する詳細については、
|
dpkg-sig --verify <agent_deb_file>
どこ<agent_deb_file>
エージェントDEB ファイルの名前とパスです。例えば:dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
処理中のメッセージが表示されます。Processing Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb...
署名が正常に検証されると、次のメッセージが表示されます。GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778