Instalación del Software Cliente en Plataformas Linux con Arranque Seguro

Se aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR. , WatchGuard EPP Este tema se aplica al producto de seguridad de endpoints WatchGuard EPP., WatchGuard EDR Core Este tema se aplica a WatchGuard EDR Core, disponible en la licencia Total Security Suite.

Algunas distribuciones de Linux detectan cuando una computadora tiene habilitado el Arranque Seguro (Secure Boot). Con Arranque Seguro habilitado, el software de WatchGuard Endpoint Security que no esté correctamente firmado se deshabilita automáticamente.

El Arranque Seguro (Secure Boot) se detecta cuando se instala el software, o más tarde, si la distribución no admitía inicialmente esta función pero se agregó en una actualización posterior. En cualquier caso, la UI de administración muestra un error y el software del endpoint no se ejecuta.

Para resolver los errores de protección relacionados con el Arranque Seguro desde la computadora que experimenta el problema, asegúrese de que su sistema cumpla estos requisitos y complete los pasos para resolver los errores.

Requisitos del Sistema

• DKMS: paquetes mokutil y openssl.
• Oracle Linux 7.x/8.x con kernel UEKR6: Repositorio ol7_optional_latest habilitado y paquetes openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uanme -r).

Resolver los Errores de Protección

1. Compruebe el estado de Arranque Seguro:
   $ mokutil --sb-state
   Arranque Seguro habilitado.
2. Compruebe que el driver no esté cargado:
   $ lsmod | grep prot
3. Importe las claves de protección:
   $ sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
   
   El agente y la protección tienen este formato protection-agent-03.01.00.0001-1.5.0_741_g8e14e52 (el nombre varía en función de la versión y el driver)
   Aparece un mensaje para explicar las implicaciones del Arranque Seguro.
4. Pulse C para registrar el certificado utilizado para firmar los módulos.
5. Ingrese una contraseña de 8 caracteres:



6. Reinicie la computadora y complete el proceso de registro.
   Si se trata de una máquina virtual, utilice el hipervisor.
1. Para iniciar el proceso de registro, pulse cualquier tecla.
   Esta pantalla aparece durante un tiempo limitado. Si no pulsa ninguna tecla, deberá reiniciar el proceso de registro.



2. Seleccione Inscribir MOK.



3. Para ver las llaves que se van a registrar, seleccione Ver llave.





4. Confirme que las llaves pertenecen a la protección de WatchGuard Endpoint Security. Seleccione Continuar para continuar con el proceso de registro.



5. Cuando se le pida Inscribir la clave, seleccione Sí.
6. Ingrese la contraseña creada anteriormente.
7. Seleccione Reiniciar.



7. Para confirmar que el driver está cargado, escriba $ lsmod | grep prot.
   

Oracle Linux 7.x/8.x con Núcleo UEKR6

Cuando la distribución instalada sea Oracle Linux 7.x/8.x con núcleo UEKR6, después de completar los pasos para registrar el certificado, complete estos pasos:

1. Ejecute este comando:
   sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
   Esto agrega el certificado utilizado para firmar los módulos a la lista de certificados de confianza del núcleo. El núcleo modificado se firma y se agrega a la lista de núcleos en GRUB. El módulo está cargado e iniciado.

2. Reinicie la computadora.
   El módulo está cargado e iniciado.

3. Para confirmar que el certificado se agregó correctamente, ejecute este comando:
   sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh

   Los resultados deberían ser:

   • El nombre común del firmante es UA-MOK Driver Signing
   • Imagen /boot/vmlinuz-kernel-version-panda-secure-boot ya firmada
   • Módulo del núcleo cargado correctamente