Instalación del cliente Advanced EPDR/EDR en plataformas Linux con Secure Boot

Instalación del software cliente de Advanced EPDR/EDR en plataformas Linux con Secure Boot

• Advanced EPDR
• Advanced EDR

En algunas distribuciones de Linux, aparecen errores en la protección en el detalle del equipo, al intentar instalar la protección con Secure Boot activado o bien al intentar activar Secure Boot con la protección instalada.

Para solucionar estos errores, es necesario actualizar el repositorio de la protección y a continuación registrar las claves (keys) de la protección desde la línea de comandos de Linux.

¡IMPORTANTE!

Asegúrate de que se cumplen los siguientes requisitos de sistema:

• DKMS: se requiere la instalación de los paquetes mokutil y openssl.
• Oracle Linux 7.x/8.x con kernel UEKR6 requieren tener el repositorio ol7_optional_latest activado y los paquetes openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uname -r) instalados.

Solución
Sigue los pasos que se indican a continuación para resolver los errores en la protección relacionados con Secure Boot desde el equipo con errores.

1. Comprueba el estado de Secure Boot:
   $ mokutil –sb-state
   Secure Boot enabled
2. Verifica que el driver no está cargado:
   $ lsmod | grep prot
3. Importa las claves (keys) de la protección:
   $ sudo /usr/src/protection-agent-<version-number>/scripts/sb_import_key.shIMPORTANTE: El agente y protección tienen este formato:
   protection-agent-03.01.00.0001-1.5.0_741_g8e14e52 (el nombre varía en función de la versión y del driver).Se muestra un mensaje informando de las implicaciones de usar Secure Boot.
4. Pulsa C para registrar el certificado utilizado para firmar los módulos.
5. Crea una contraseña de 8 caracteres:
   
6. Reinicia el equipo y completa el proceso de registro.
   Si se trata de una máquina virtual, usa el hipervisor.
   • Presiona cualquier tecla para comenzar el proceso de registro. Esta pantalla aparece durante un tiempo limitado, por lo cual, si no se pulsa ninguna tecla, es necesario realizar el proceso de nuevo.
   • Selecciona Enroll MOK del menú.
   • Pulsa View key para ver las claves que se van a registrar.
   • Comprueba que las claves son las de la protección de Cytomic y selecciona Continue para proseguir con el proceso de registro.
   • Cuando aparezca la opción Enroll the key, selecciona Yes.
   • A continuación, introduce la contraseña previamente elegida.
   • Selecciona Reboot para finalizar el proceso.
     
7. Finalmente, comprueba que el driver está cargado:
   $ lsmod | grep prot
   protection_agent 184320

1. Ejecuta nuevamente este comando:
   $ sudo /usr/src/protection-agent-<version-number>/scripts/sb_import_key.sh
   Esta operación añade el certificado utilizado para firmar los módulos a la lista de certificados confiables para el kernel. El kernel modificado se firma y se añade a la lista de kernels en GRUB.
2. Reinicia el equipo.
3. El módulo se carga y se arranca.
4. Para asegurar que el certificado se ha añadido de forma correcta, ejecuta este comando:
   $ sudo /usr/src/protection-agent-<version-number>/scripts/sb_import_key.sh

El resultado es:
The signer´s common name is UA-MOK Driver Signing
Image /boot/vmlinuz-kernel-version-panda-secure-boot already signed
Kernel module succesfully loaded