Vista General #

RELIANOID Enterprise Edition es totalmente compatible Arranque seguro UEFI a través del estándar Linux cuña + MOK (Clave del propietario de la máquina) mecanismo.

Debido a cómo se establece la confianza de Arranque seguro a nivel de firmware, No se puede habilitar el Arranque seguro en la primera instalaciónSe requiere un proceso de arranque corto y controlado.

Este artículo explica el procedimiento recomendado y apoyado para habilitar el arranque seguro en RELIANOID Sistemas Enterprise Edition.

Consideración de diseño importante #

La confianza de arranque seguro debe establecerse antes de la personalización. RELIANOID El kernel puede arrancar.

Por esta razón:

• El sistema de Primero debe instalarse con soporte EFI pero con el Arranque seguro deshabilitado
• Después de la instalación, el RELIANOID El certificado de arranque seguro está inscrito
• Luego se habilita el arranque seguro en el firmware.

Es comportamiento esperado, seguro y conforme, alineado con los requisitos de seguridad UEFI y shim.

Requisitos previos #

• RELIANOID Edición Enterprise instalada
• Arranque del sistema en modo UEFI
• Arranque seguro deshabilitado en el firmware durante la instalación inicial
• Acceso a la consola disponible (IPMI/iDRAC/iLO local o remoto)
• Herramientas instaladas mokutil y herramienta sbsign en cada RELIANOID Balanceador de carga con

  apto para instalar mokutil sbsigntool

• RELIANOID Certificado de arranque seguro ya instalado en: /usr/local/relianoid/share/secureboot/cert-mok.der (disponible >= RELIANOID EE v8.5)

Paso 1 — Instalar RELIANOID con EFI (Arranque seguro deshabilitado) #

Configurar el firmware para:

• Modo de arranque UEFI
• Arranque seguro deshabilitado

Entonces, instale RELIANOID Edición Enterprise normalmente.

Por último, inicie el sistema y verifique el modo EFI con el comando:

[ -d /sys/firmware/efi ] && echo "Modo UEFI confirmado"

Paso 2 — Preparar la RELIANOID Certificado MOK #

RELIANOID proporciona un certificado de arranque seguro preinstalado que debe inscribirse en shim.

Ejecute el siguiente comando como raíz:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Indicador de contraseña #

Se le pedirá que configure un contraseña de inscripción única:

Ingrese la contraseña: (inserte la contraseña de un solo uso) Ingrese la contraseña nuevamente: (vuelva a insertar la contraseña de un solo uso)

Esta contraseña es temporal y se utilizará solo una vez durante la inscripción.

Nota: Mantenga esta contraseña disponible: será necesaria en el próximo reinicio.

Confirmar inscripción pendiente #

Confirme con el comando:

mokutil --lista-nueva

Paso 3: reiniciar e inscribir el MOK en shim #

Reinicie el sistema con el comando:

reiniciar

Durante el arranque, antes de que se cargue el sistema operativo, Gerente de MOK (interfaz de calce) aparecerá.

Pasos de inscripción #

1. Seleccione Inscribirse en MOK

   

2. Ver clave

   

3. Seleccione Continuar

   

4. Seleccione Sí:

   

5. Introduzca la contraseña elegida en el paso 2
6. Confirmar y reiniciar

   

Esta acción inscribe permanentemente al RELIANOID Certificado de arranque seguro en la base de datos MOK del sistema.

Paso 4 — Verificar la inscripción en MOK #

Después de que el sistema se reinicie exitosamente, verifique que el certificado esté inscrito:

mokutil --lista-inscrito | grep RELIANOID

Debería ver una entrada similar a:

Paso 5: Habilitar el arranque seguro en el firmware #

1. Reinicia el sistema
2. Ingrese a la configuración del firmware (BIOS/UEFI)
3. Activar Comienza segura
4. Guardar y Salir

Paso 6 — Verificación final #

Una vez que se habilita el Arranque seguro, inicie RELIANOID y confirmar el estado de Arranque seguro:

mokutil --sb-state

Rendimiento esperado:

SecureBoot habilitado

En este punto:

• La RELIANOID El kernel es confiable
• La cadena de arranque está completamente validada.
• El arranque seguro está operativo

Localización de averías #

Arranque seguro habilitado pero el sistema no arranca #

• Asegurar la RELIANOID núcleo >=6.1.159 Estaba cargado con uname -r
• Verificar RELIANOID Inscripción al certificado con mokutil --list-enrolled | grep RELIANOID
• Confirme que el sistema arranca a través de shim (no GRUB directo)

La pantalla del Administrador MOK no aparece #

• Asegúrese de que Comienza segura fue deshabilitado durante la inscripción
• Vuelva a ejecutar el mokutil --import comando
• Confirmar la visibilidad de la consola durante el reinicio

Notas de seguridad #

• La inscripción a MOK no se puede automatizar sin la confirmación del usuario
• Este comportamiento lo impone UEFI Secure Boot y shim
• Evita que se confíe silenciosamente en claves no autorizadas

Este proceso cumple con:

• Especificaciones de arranque seguro UEFI
• Modelo de seguridad de Linux Shim
• Prácticas recomendadas para el arranque seguro empresarial

Eliminar un certificado MOK del sistema #

Un inscrito previamente RELIANOID La clave del propietario de la máquina (MOK) se puede programar para su eliminación mediante el siguiente comando:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Después de ejecutar este comando:

1. Se le pedirá que establezca una contraseña de un solo uso
2. Reinicia el sistema
3. La pantalla del Administrador MOK (shim) aparecerá durante el arranque
4. Seleccione Eliminar MOK
5. Confirme la eliminación utilizando la contraseña que usted definió

Una vez completado, el certificado se eliminará de forma permanente de la base de datos MOK del sistema y los binarios firmados con esa clave ya no serán confiables bajo Arranque seguro.

Importante: Esta operación requiere que el Arranque seguro esté habilitado y que haya acceso físico o a la consola para completar la confirmación durante el reinicio.