(선택 사항) 보안 부팅이 활성화된 Oracle Linux UEK6 커널에 대한 Arcserve UDP 공개 키 등록

이 섹션에서는 보안 부팅이 활성화된 Oracle Linux UEK6 커널에 대한 Arcserve 공개 키를 등록하는 방법에 대한 정보를 제공합니다.

필수 조건:

• 루트 자격 증명이 있는지 확인합니다.
• Arcserve 공개 키에 액세스할 수 있는지 확인합니다.
• Arcserve 플랫폼 키 파일(PKCS12)에 대한 액세스 권한이 있는지 확인합니다.
• 시스템에 아래 위치에 있는 mmx64.efi 파일의 관련 패키지가 있는지 확인합니다.
• /boot/efi/EFI/redhat
• 필요에 따라 다음 패키지를 설치합니다.
• Oracle Linux 7.x
• sudo yum install kernel-uek-devel
• sudo yum update
• sudo yum-config-manager –enable ol7_optional_latest
• sudo yum install keyutils mokutil pesign
• Oracle Linux 8.x
• sudo dnf install kernel-uek-devel
• sudo dnf update
• sudo dnf install keyutils mokutil pesign

다음 단계를 수행하십시오.

1. 백업 소스 노드의 셸 환경에 로그인합니다.
2. 다음 위치에서 Arcserve 공개 키를 찾습니다.

   /tmp/arcserve_public_key_for_secureboot.der

3. 다음 위치에서 Arcserve 플랫폼 키 파일(PKCS12)을 찾습니다.

   /tmp/arcserve_p12key_for_secureboot.p12

4. 커널에 모듈 인증서 삽입 및 UEK6 커널용 커널 이미지 서명에 관한 Oracle Linux 설명서에서 다음 단계를 수행하십시오.
• Arcserve 공개 키 및 플랫폼 키 파일이 있는 디렉터리로 변경하려면 다음 명령을 실행합니다.

# cd /tmp

• insert-sys-cert 유틸리티를 사용하여 커널 이미지에 모듈 인증서를 삽입하려면 다음 명령을 실행합니다.

# /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map-$(uname -r) -z /boot/vmlinuz-$(uname -r) -c arcserve_public_key_for_secureboot.der

• 전체 키 집합을 저장하도록 설계된 NSS 데이터베이스를 구성하려면 다음 명령을 실행합니다.

# certutil -d . -N

• 
• NSS 데이터베이스의 암호를 입력하라는 메시지가 표시됩니다. 데이터베이스 암호를 입력합니다. 이 암호는 커널에 서명하는 동안 필요합니다.
• PKCS#12 버전의 커널 서명 키를 새 데이터베이스에 추가합니다. 먼저 위 단계에서 만든 NSS 데이터베이스의 암호를 입력하라는 메시지가 표시된 다음 PKCS#12 키 파일을 내보내는 동안 사용된 암호를 입력하라는 메시지가 표시됩니다('cad2d'가 PKCS#12 키에 사용됨 암호임).
• # pk12util -d . -i arcserve_p12key_for_secureboot.p12
• 
• pesign 유틸리티를 사용하여 커널 이미지에 서명합니다.
• 
• 
5. MOK 데이터베이스를 업데이트하려면 다음 단계를 수행하십시오.
1. 인증서를 MOK로 가져오려면 다음 명령을 실행합니다.
2. mokutil [--root-pw] --import
3. /tmp/arcserve_public_key_for_secureboot.der
4. --root-pw 옵션을 사용하면 루트 사용자를 직접 사용할 수 있습니다. 시스템을 다시 시작한 후 키를 등록하려면 루트 암호가 필요합니다.
2. --root-pw 옵션을 사용할 수 없는 경우에는 인증서 암호를 지정합니다.
3. 이 암호는 시스템을 다시 시작한 후 키를 등록하는 데 필요합니다.
3. 다음 명령을 사용하여 mokutil에서 등록할 준비가 된 인증서 목록을 확인합니다.
4. mokutil --list-new>
5. 목록에 Arcserve 공개 키가 포함되어 있어야 합니다.
4. 시스템을 다시 시작합니다.
5. shim UEFI 키 관리 도구가 시작됩니다.
6. 참고: shim UEFI 키 관리 도구가 시작되지 않으면 시스템에 mmx64.efi 파일이 없는 것일 수 있습니다.
5. MOK 목록에 인증서를 등록하기 위해 Arcserve 공개 키를 가져올 때 지정한 암호를 입력합니다.
6. UEK R6의 경우 커널 builtin_trusted_keys 키링에 나열된 키만 모듈 서명을 위해 신뢰되는 키입니다. 이러한 이유로 모듈 서명 키는 모듈 서명 프로세스의 일부로 커널 이미지에 추가됩니다. 다음 명령을 실행하여 키를 신뢰할 수 있는지 확인합니다.
7. # keyctl show %:.builtin_trusted_keys
8. Keyring: 335047181 ---lswrv 0 0 keyring: .builtin_trusted_keys
9. 1042239099 ---lswrv 0 0 \_ asymmetric: Oracle CA Server: 58bd7ea9c4fba3a4a62720d5d06f1e96053ddf4d
10. 24285436 ---lswrv 0 0 \_ asymmetric: Arcserve kernel module signing key: fb4c19dca60d31bb203499bf6cb384af6615699d
11. 362335717 ---lswrv 0 0 \_ asymmetric: Oracle America, Inc.: Ksplice Kernel Module Signing Key: 09010ebef5545fa7c54b626ef518e077b5b1ee4c
12. 448587676 ---lswrv 0 0 \_ asymmetric: Oracle Linux Kernel Module Signing Key: 2bb352412969a3653f0eb6021763408ebb9bb5ab
13. 참고:
• 목록에 Arcserve 공개 키가 포함되어 있어야 합니다.
• 여러 UEK 버전 커널이 설치된 경우 하나의 커널만 서명하면 다른 커널이 로그인할 수 없습니다. 예를 들어 UEK5 및 UEK6 커널을 설치하고 키를 가져오고 위의 단계를 수행하여 UEK6 커널에 서명한 경우 보안 부팅에서 UEK5 커널을 사용한 부팅이 실패합니다.

보안 부팅이 활성화된 Oracle Linux UEK6 커널이 보호를 위한 준비가 완료되었습니다.