[CPP] Linux - Secure Boot Enabled 환경 지원을 위한 가이드
1. 개요
Secure Boot(보안 부팅) 활성화 환경에서 AhnLab Host IPS for Linux(이하, HIPS for Linux) 제품 지원을 위한 가이드입니다.
2. 내용
Secure Boot가 활성화된 경우 Linux 커널은 커널 모듈이 설치되기 전에 서명 확인을 수행합니다.
커널 모듈을 활용하는 HIPS for Linux의 기능을 Secure Boot 활성화 환경에서 사용하려면,
안랩 커널 모듈의 서명을 인식할 수 있도록 안랩 public key(이하, 공개 키)를 등록해야 합니다.
Secure Boot 활성화 환경에서 HIPS for Linux의 완전한 기능 동작을 위해 절차에 따라 공개 키 등록을 진행해 주십시오.
※ 과정에서 시스템 재부팅이 필요합니다.
지원운영체제는 다음과 같습니다.
- CentOS 7 이상
- RHEL 7 이상
- Oracle Linux 7.9 이상
- Rocky Linux 8.5 이상
- SLES 12.1 이상
- Debian 10 이상
- Amazon Linux 2
3. 인증서 등록 절차
1) 가이드 가장 하단에 첨부된 파일(AhnLab_Code_signing.Zip)을 다운로드 받은 후 압축을 해제합니다. 압축 파일에 포함된 2개의 파일을 모두 사용합니다.
구분 |
인증서 만료일 |
시리얼 넘버 |
AhnLab_Code_Signing-001.der |
2028-12-04 |
5e1a6e81974bb7f576f3f1e2a614c57248affd24 |
AhnLab_Code_Signing-002.der |
2032-12-04 |
376d3a0c785146a8721bfca2f6bb39604875ef12 |
2) 제품과 공개 키를 설치할 환경에 mokutil을 설치합니다.
3) [공개 키 추가] AhnLab_Code_Signing-001.der, AhnLab_Code_Signing-002.der 2개의 공개 키를 추가 후 비밀번호를 입력한 뒤 재부팅을 진행합니다.
- 비밀번호는 등록, 삭제 과정에서 사용되므로 분실하지 않도록 유의해 주십시오.
4) 시스템이 재부팅 되면 MOK Management 화면이 실행됩니다.
- 이 단계에서 조회 및 비밀번호 입력이 정상적으로 진행되지 않는 경우, "3) [공개 키 추가]" 절차부터 다시 진행해야 합니다.
4)-A. 화면에서 Enroll MOK 항목을 선택 합니다.
4)-B. Key 0, Key 1 목록이 나타납니다.
4)-B. Key 0에서 ‘AhnLab_Code_Signing-001.der’, Key 1에서 ‘AhnLab_Code_Signing-002.der’ 에 대한 정보를 확인합니다.
4)-C. ‘3) [공개 키 추가]’ 단계에서 입력한비밀번호를 입력합니다.
4)-D. 완료 후 시스템을 재시작 합니다.
4)-E. 재부팅 후 시스템에 공개 키가 등록된 것을 확인합니다.
4. 인증서 삭제 절차
1) [공개 키 삭제] 시스템 콘솔에서 명령을 실행하여, 공개 키 삭제 과정을 진행합니다(재부팅 필요)
2) MOK Management에서 Delete MOK을 선택합니다.
3) 삭제할 공개 키의 정보를 확인합니다.
4) Delete를 선택합니다.
5) 앞서 설정한 비밀번호를 입력합니다.
(6) 시스템을 재부팅 합니다.
(7) 삭제가 정상적으로 완료되었는지 확인합니다.