Vue d'ensemble #

RELIANOID L'édition Enterprise prend entièrement en charge UEFI Secure Boot via Linux standard cale + MOK (clé du propriétaire de la machine) mécanisme.

Étant donné la manière dont la confiance du démarrage sécurisé est établie au niveau du micrologiciel, Le démarrage sécurisé ne peut pas être activé lors de la première installation.Un processus d'amorçage court et contrôlé est nécessaire.

Cet article explique le procédure recommandée et prise en charge pour activer le démarrage sécurisé sur RELIANOID Systèmes Édition Entreprise.

Considération de conception importante #

La confiance du démarrage sécurisé doit être établie avant la personnalisation RELIANOID Le noyau peut démarrer.

Pour cette raison:

• Le système Il doit d'abord être installé avec la prise en charge EFI, mais avec le démarrage sécurisé désactivé.
• Après l'installation, le RELIANOID Le certificat de démarrage sécurisé est enregistré
• Le démarrage sécurisé est alors activé dans le firmware.

Voici comportement attendu, sécurisé et conforme, conforme aux exigences de sécurité UEFI et shim.

Pré-requis : #

• RELIANOID Édition Entreprise installée
• Démarrage du système en mode UEFI
• Le démarrage sécurisé est désactivé dans le firmware lors de l'installation initiale.
• Accès console disponible (IPMI/iDRAC/iLO local ou distant)
• Outils installés mokutil sbsigntool dans chaque RELIANOID Équilibreur de charge avec

  apt installer mokutil sbsigntool

• RELIANOID Le certificat de démarrage sécurisé est déjà installé à l'emplacement suivant : /usr/local/relianoid/share/secureboot/cert-mok.der (disponible >= RELIANOID EE v8.5)

Étape 1 — Installation RELIANOID avec EFI (démarrage sécurisé désactivé) #

Configurer le firmware pour :

• mode de démarrage UEFI
• Démarrage sécurisé désactivé

Ensuite, installez RELIANOID Édition Entreprise normalement.

Enfin, démarrez le système et vérifiez le mode EFI avec la commande :

[ -d /sys/firmware/efi ] && echo "Mode UEFI confirmé"

Étape 2 — Mettre en scène RELIANOID certificat MOK #

RELIANOID fournit un certificat de démarrage sécurisé préinstallé qui doit être enregistré dans le shim.

Exécutez la commande suivante comme racine:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

Mot de passe #

Il vous sera demandé de définir un mot de passe d'inscription unique:

Saisir le mot de passe : (insérer le mot de passe à usage unique) Saisir à nouveau le mot de passe : (réinsérer le mot de passe à usage unique)

Ce mot de passe est temporaire et ne sera utilisé qu'une seule fois lors de l'inscription.

Remarque : Conservez ce mot de passe à portée de main — il sera requis lors du prochain redémarrage.

Confirmer l'inscription en attente #

Confirmez avec la commande :

mokutil --list-new

Étape 3 — Redémarrez et enregistrez le MOK dans le shim #

Redémarrez le système avec la commande :

reboot

Au démarrage, avant le chargement du système d'exploitation, le Gestionnaire MOK (interface de shim) apparaîtra.

Étapes d'inscription #

1. Choisir Inscrivez-vous au MOK

   

2. Afficher la clé

   

3. Choisir Continuer

   

4. Choisir Oui

   

5. Saisissez le mot de passe choisi à l'étape 2
6. Confirmer et redémarrer

   

Cette action inscrit définitivement le RELIANOID Certificat de démarrage sécurisé dans la base de données MOK du système.

Étape 4 — Vérifier l’inscription au MOK #

Une fois le système redémarré avec succès, vérifiez que le certificat est bien enregistré :

mokutil --list-enrolled | grep RELIANOID

Vous devriez voir une entrée similaire à :

Étape 5 — Activer le démarrage sécurisé dans le micrologiciel #

1. Redémarrer le système
2. Accédez à la configuration du firmware (BIOS/UEFI).
3. Permettre DÉMARRAGE SÉCURISÉ
4. Sauvegarder et quitter

Étape 6 — Vérification finale #

Une fois le démarrage sécurisé activé, démarrez RELIANOID et confirmer l'état du démarrage sécurisé :

mokutil --sb-état

Production attendue:

SecureBoot activé

À ce point:

• L' RELIANOID Le noyau est digne de confiance
• La chaîne de démarrage est entièrement validée.
• Le démarrage sécurisé est opérationnel.

Dépannage #

Le démarrage sécurisé est activé, mais le système ne démarre pas. #

• Assurez Un RELIANOID kernel > = 6.1.159 était chargé de uname -r
• Vérifier RELIANOID Inscription au certificat avec mokutil --list-enrolled | grep RELIANOID
• Vérifiez que le système démarre via un shim (et non directement avec GRUB).

L'écran du gestionnaire MOK n'apparaît pas. #

• Qu'on Assure DÉMARRAGE SÉCURISÉ a été désactivé lors de l'inscription
• Relancez le mokutil --import commander
• Vérifier la visibilité de la console pendant le redémarrage

Notes de sécurité #

• L'inscription au MOK ne peut être automatisée sans confirmation de l'utilisateur.
• Ce comportement est imposé par le démarrage sécurisé UEFI et le shim.
• Cela empêche que des clés non autorisées soient silencieusement acceptées.

Ce processus est conforme aux normes suivantes :

• Spécifications de démarrage sécurisé UEFI
• Modèle de sécurité Linux shim
• Meilleures pratiques de démarrage sécurisé en entreprise

Suppression d'un certificat MOK du système #

Un étudiant précédemment inscrit RELIANOID La suppression de la clé propriétaire de la machine (MOK) peut être programmée à l'aide de la commande suivante :

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

Après avoir exécuté cette commande :

1. Il vous sera demandé de définir un mot de passe à usage unique.
2. Redémarrer le système
3. L'écran du gestionnaire MOK (shim) apparaîtra pendant le démarrage.
4. Choisir Supprimer MOK
5. Confirmez la suppression à l'aide du mot de passe que vous avez défini.

Une fois l'opération terminée, le certificat sera définitivement supprimé de la base de données MOK du système, et les fichiers binaires signés avec cette clé ne seront plus considérés comme fiables en mode de démarrage sécurisé.

Important : Cette opération nécessite l’activation du démarrage sécurisé et un accès physique ou via console pour effectuer la confirmation lors du redémarrage.