تهيئة التمهيد الآمن لـ RELIANOID إصدار المؤسسة

  • مدونة
  • تهيئة التمهيد الآمن لـ RELIANOID إصدار المؤسسة

الموسوعة المعرفية

تجربة موثوقية الموقع

عرض الفئات

تهيئة التمهيد الآمن لـ RELIANOID إصدار المؤسسة

4 دقائق للقراءة

جدول المحتويات

نظرة عامة #

RELIANOID يدعم إصدار المؤسسة بشكل كامل UEFI الحذاء الآمن من خلال نظام لينكس القياسي shim + MOK (مفتاح مالك الآلة) آلية.

بسبب كيفية إنشاء الثقة في التمهيد الآمن على مستوى البرامج الثابتة، لا يمكن تفعيل خاصية التمهيد الآمن عند التثبيت الأوليلزم إجراء عملية تمهيد قصيرة ومضبوطة.

تشرح هذه المقالة ملفات الإجراء الموصى به والمدعوم لتفعيل خاصية التمهيد الآمن RELIANOID أنظمة إصدار المؤسسات.

اعتبارات تصميمية مهمة #

يجب إنشاء الثقة في نظام التمهيد الآمن قبل تطبيق العميل RELIANOID يمكن تشغيل النواة.

ولهذا السبب:

  • النظام يجب أولاً تثبيته مع دعم EFI ولكن مع تعطيل ميزة التمهيد الآمن
  • بعد التثبيت ، و RELIANOID تم تسجيل شهادة التمهيد الآمن
  • ثم يتم تفعيل خاصية التمهيد الآمن في البرامج الثابتة

هذا هو السلوك المتوقع والآمن والمتوافق، بما يتماشى مع متطلبات أمان UEFI و shim.

المتطلبات الأساسية المسبقة #

  • RELIANOID تم تثبيت إصدار المؤسسة
  • بدء تشغيل النظام في وضع UEFI
  • تم تعطيل ميزة التمهيد الآمن في البرامج الثابتة أثناء التثبيت الأولي
  • إمكانية الوصول إلى وحدة التحكم متاحة (IPMI/iDRAC/iLO محليًا أو عن بُعد)
  • الأدوات المثبتة موكوتيل و أداة توقيع sbsigntool في كل RELIANOID موازن الأحمال مع 
    ملائمة تثبيت mokutil sbsigntool
  • RELIANOID تم تثبيت شهادة التمهيد الآمن مسبقًا في: /usr/local/relianoid/share/secureboot/cert-mok.der (متوفر >= RELIANOID EE v8.5)

الخطوة 1 - التثبيت RELIANOID مع نظام EFI (مع تعطيل خاصية التمهيد الآمن) #

قم بتهيئة البرامج الثابتة لـ:

  • وضع التمهيد UEFI
  • تم تعطيل التمهيد الآمن

ثم قم بالتثبيت RELIANOID عادةً ما يكون إصدار المؤسسة.

وأخيرًا، قم بتشغيل النظام وتحقق من وضع EFI باستخدام الأمر التالي:

[ -d /sys/firmware/efi ] && echo "تم تأكيد وضع UEFI"

الخطوة الثانية - تجهيز RELIANOID شهادة MOK #

RELIANOID يوفر شهادة Secure Boot مثبتة مسبقًا يجب تسجيلها في shim.

قم بتشغيل الأمر التالي كـ جذر:

mokutil --ignore-keyring --import /usr/local/relianoid/share/secureboot/cert-mok.der

موجه كلمة المرور #

سيُطلب منك تحديد كلمة مرور التسجيل لمرة واحدة:

أدخل كلمة المرور: (أدخل كلمة المرور لمرة واحدة) أدخل كلمة المرور مرة أخرى: (أعد إدخال كلمة المرور لمرة واحدة)

كلمة المرور هذه هي مؤقت وسيتم استخدامها مرة واحدة فقط أثناء التسجيل.

ملاحظة: احتفظ بكلمة المرور هذه في متناول يدك - فهي مطلوبة عند إعادة التشغيل التالية.

تأكيد التسجيل المعلق #

قم بالتأكيد باستخدام الأمر التالي:

mokutil --list-new

الخطوة 3 - أعد تشغيل جهاز MOK وقم بتسجيله في shim #

أعد تشغيل النظام باستخدام الأمر التالي:

إعادة تشغيل

أثناء بدء التشغيل، قبل تحميل نظام التشغيلأطلقت حملة مدير MOK ستظهر واجهة (shim).

خطوات التسجيل #

  1. أختار سجل في MOK

    relianoid_secure_boot_enroll_mok

  2. مفتاح العرض

    مفتاح عرض التمهيد الآمن لليوانويد

  3. أختار اتبع الدورة

    relianoid_secure_boot_enroll_mok_continue

  4. أختار نعم

    relianoid_secure_boot_enroll_mok_confirm

  5. أدخل كلمة المرور التي اخترتها في الخطوة 2
  6. قم بالتأكيد وإعادة التشغيل

    relianoid_secure_boot_enroll_mok_reboot

هذا الإجراء يُسجّل بشكل دائم RELIANOID شهادة التمهيد الآمن في قاعدة بيانات MOK الخاصة بالنظام.

الخطوة الرابعة - التحقق من تسجيل MOK #

بعد إعادة تشغيل النظام بنجاح، تحقق من تسجيل الشهادة:

mokutil -- مسجل في القائمة | grep RELIANOID

يجب أن ترى مدخلاً مشابهاً لما يلي:

relianoid_secure_boot_mok_list_enrolled

الخطوة 5 - تفعيل خاصية التمهيد الآمن في البرامج الثابتة #

  1. إعادة تمهيد النظام
  2. أدخل إعدادات البرامج الثابتة (BIOS/UEFI)
  3. تفعيل التشغيل الآمن
  4. حفظ وخروج

الخطوة 6 - التحقق النهائي #

بمجرد تفعيل خاصية التمهيد الآمن، قم بالتمهيد RELIANOID وتأكد من حالة التمهيد الآمن:

mokutil --sb-state

الناتج المتوقع:

تم تفعيل SecureBoot

عند هذه النقطة:

  • استخدم RELIANOID النواة موثوقة
  • تم التحقق من صحة سلسلة التمهيد بالكامل
  • خاصية التمهيد الآمن تعمل

فحص الجهاز #

تم تفعيل خاصية التمهيد الآمن، لكن النظام يفشل في الإقلاع. #

  • يُفضل RELIANOID نواة > = 6.1.159 تم تحميله بـ uname -r
  • تحقق RELIANOID التسجيل للحصول على الشهادة مع mokutil --list-enrolled | grep RELIANOID
  • تأكد من أن النظام يبدأ التشغيل عبر برنامج shim (وليس عبر GRUB المباشر).

لا تظهر شاشة مدير MOK #

  • ضمان التشغيل الآمن تم تعطيله أثناء التسجيل
  • أعد تشغيل mokutil --import أمر
  • تأكد من ظهور وحدة التحكم أثناء إعادة التشغيل

ملاحظات الأمن #

  • لا يمكن أتمتة عملية التسجيل في برنامج MOK بدون تأكيد المستخدم
  • يتم فرض هذا السلوك بواسطة UEFI Secure Boot و shim
  • يمنع ذلك الوثوق بالمفاتيح غير المصرح بها دون علم المستخدم.

تتوافق هذه العملية مع ما يلي:

  • مواصفات التمهيد الآمن UEFI
  • نموذج أمان لينكس شيم
  • أفضل ممارسات التمهيد الآمن للمؤسسات

إزالة شهادة MOK من النظام #

مسجل سابقًا RELIANOID يمكن جدولة إزالة مفتاح مالك الجهاز (MOK) باستخدام الأمر التالي:

mokutil --delete /usr/local/relianoid/share/secureboot/cert-mok.der

بعد تنفيذ هذا الأمر:

  1. سيُطلب منك تعيين كلمة مرور لمرة واحدة
  2. إعادة تمهيد النظام
  3. ستظهر شاشة مدير MOK (shim) أثناء بدء التشغيل
  4. أختار حذف MOK
  5. أكد عملية الحذف باستخدام كلمة المرور التي حددتها

بمجرد اكتمال العملية، ستتم إزالة الشهادة بشكل دائم من قاعدة بيانات MOK الخاصة بالنظام، ولن يتم الوثوق بالملفات الثنائية الموقعة بهذا المفتاح في إطار التمهيد الآمن.

هام: تتطلب هذه العملية تمكين خاصية التمهيد الآمن والوصول المادي أو الوصول إلى وحدة التحكم لإكمال التأكيد أثناء إعادة التشغيل.

📄 قم بتنزيل هذه الوثيقة بصيغة PDF #

    ُ:البريد الالكتروني *

    BetterDocs