Soporte técnico

¿Necesitas ayuda?

 

Instalación del software cliente en plataformas Linux con Secure Boot

Información aplicable a:

Productos
Panda Adaptive Defense 360 on Aether Platform
Panda Adaptive Defense on Aether Platform
Panda Endpoint Protection Plus on Aether Platform

En algunas distribuciones de Linux, aparecen errores en la protección en el detalle del equipo, al intentar instalar la protección con Secure Boot activado o bien al intentar activar Secure Boot con la protección instalada.

Para solucionar estos errores, es necesario actualizar el repositorio de la protección y a continuación registrar las claves (keys) de la protección desde la línea de comandos de Linux.

¡IMPORTANTE!

Asegúrate de que se cumplen los siguientes requisitos de sistema:
  • DKMS: se requiere la instalación de los paquetes mokutil y openssl.
  • Oracle Linux 7.x/8.x con kernel UEKR6 requieren tener el repositorio ol7_optional_latest activado y los paquetes openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uname -r) instalados.
Solución
Sigue los pasos que se indican a continuación para resolver los errores en la protección relacionados con Secure Boot desde el equipo con errores.
  1. Comprueba el estado de Secure Boot:
    $ mokutil --sb-state
    Secure Boot enabled
  2. Verifica que el driver no está cargado:
    $ lsmod | grep prot
  3. Importa las claves (keys) de la protección:
    $ sudo /usr/src/protection-agent-[version]/scripts/sb_import_key.sh

    IMPORTANTE: El agente y protección tienen este formato:
    $ sudo /usr/src/protection-agent-03.01.00.0001-1.5.0_741_g8e14e52/scripts/sb_import_key.sh (el nombre varía en función de la versión y del driver).

    Se muestra un mensaje informando de las implicaciones de usar Secure Boot.
  4. Pulsa C para registrar el certificado utilizado para firmar los módulos.
  5. Crea una contraseña de 8 caracteres:

  6. Reinicia el equipo y completa el proceso de registro.
    Si se trata de una máquina virtual, usa el hipervisor.
    • Presiona cualquier tecla para comenzar el proceso de registro. Esta pantalla aparece durante un tiempo limitado, por lo cual, si no se pulsa ninguna tecla, es necesario realizar el proceso de nuevo.

    • Selecciona Enroll MOK del menú.

    • Pulsa View key para ver las claves que se van a registrar.



    • Comprueba que las claves son las de la protección de Panda y selecciona Continue para proseguir con el proceso de registro.

    • Cuando aparezca la opción Enroll the key, selecciona Yes.
    • A continuación, introduce la contraseña previamente elegida.
    • Selecciona Reboot para finalizar el proceso.

  7. Finalmente, comprueba que el driver está cargado:
    $ lsmod | grep prot
    protection_agent 184320
Oracle Linux 7.x/8.x con kernel UEKR6
Una vez hayas completado los pasos, y solo en el caso de distribuciones Oracle Linux 7.x/8.x con UEKR6 kernel, sigue estos pasos adicionales:
  1. Ejecuta nuevamente este comando:
    $ sudo /usr/src/protection-agent-[version]/scripts/sb_import_key.sh

    Esta operación añade el certificado utilizado para firmar los módulos a la lista de certificados confiables para el kernel. El kernel modificado se firma y se añade a la lista de kernels en GRUB.
  2. Reinicia el equipo.
  3. El módulo se carga y se arranca.
  4. Para asegurar que el certificado se ha añadido de forma correcta, ejecuta este comando:
    $ sudo /usr/src/protection-agent-[version]/scripts/sb_import_key.sh
El resultado es:
The signer´s common name is UA-MOK Driver Signing
Image /boot/vmlinuz-kernel-version-panda-secure-boot already signed
Kernel module succesfully loaded
Ayuda nº- 20231117 700121 ES
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

Contacta con nuestros técnicos:

Escribe un email
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

¿Eres un Partner o cliente de WatchGuard y necesitas ayuda con los productos Panda?

+ Info