適用対象: WatchGuard Advanced EPDR、WatchGuard EPDR、WatchGuard EDR、WatchGuard EPP、WatchGuard EDR Core
一部の Linux ディストリビューションは、コンピュータでセキュア ブートが有効になっている場合、それを検出します。セキュア ブートが有効になっている場合、正しく署名されていない WatchGuard Endpoint Security ソフトウェア は自動的に無効化されます。
セキュア ブートは、ソフトウェアのインストール時、またはディストリビューションが当初はこの機能をサポートしていなかったものの、後の更新でそれが追加された場合に検出されます。いずれの場合も、管理 UI にはエラーが表示され、Endpoint ソフトウェアは実行されません。
問題が発生しているコンピュータでセキュア ブートに関連する保護エラーを解決するには、システムがそれらの要件を満たしていることを確認し、エラーを解決するための手順を完了します。
システム要件
- DKMS: mokutil および openssl パッケージ。
- カーネル UEKR6 搭載の Oracle Linux 7.x/8.x: リポジトリ ol7_optional_latest を有効化、openssl、keyutils、mokutil、pesign、kernel-uek-devel-$(uanme -r) パッケージ。
保護エラーを解決する
- セキュア ブートの状態を確認します:
$ mokutil --sb-state
セキュア ブートが有効です。 - ドライバーが読み込まれていないことを確認します:
$ lsmod | grep prot - 保護キーをインポートします:
$ sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
エージェントと保護の形式は以下の通りです: protection-agent-03.01.00.0001-1.5.0_741_g8e14e52 (名前はバージョンやドライバーによって異なります)
セキュア ブートの影響を説明するメッセージが表示されます。 - C を押して、モジュールを署名するのに使用された証明書を登録します。
- 8 文字のパスワードを入力します:
- コンピュータを再起動し、登録プロセスを完了します。
仮想マシンの場合は、ハイパーバイザーを使用します。 - 登録プロセスを開始するには、いずれかのキーを押します。
この画面は一定時間表示されます。キーを押さない場合は、登録プロセスをやり直す必要があります。 - MOK を登録する を選択します。
- 登録されるキーを表示するには、キーの表示 を選択します。
- キーが WatchGuard Endpoint Security 保護に属していることを確認します。続行 を選択し、登録プロセスを続行します。
- キーを登録 するよう求められたら、はい を選択します。
- 先ほど作成したパスワードを入力します。
- 再起動 を選択します。
-
ドライバーが読み込まれたことを確認するには、$ lsmod | grep prot と入力します。
カーネル UEKR6 搭載の Oracle Linux 7.x/8.x
インストールされているディストリビューションが UEKR6 カーネル搭載の Oracle Linux 7.x/8.x である場合、ユーザーが証明書を登録するための手順の完了後、以下の手順が実行されます:
- 以下のコマンドを実行します。
sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
これにより、モジュールを署名するのに使用された証明書が、カーネルによって信頼される証明書のリストに追加されます。変更されたカーネルは署名され、GRUB のカーネルのリストに追加されます。モジュールが読み込まれ、起動します。 -
コンピュータを再起動する。
モジュールが読み込まれ、起動します。 - 証明書が正しく追加されたことを確認するには、次のコマンドを実行します:
sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh次のような結果が得られるはずです:
- 署名者の一般名は UA-MOK Driver Signing です
- イメージ /boot/vmlinuz-kernel-version-panda-secure-boot はすでに書名済みです
- カーネル モジュールが正常に読み込まれました