啟用安全開機

使用安全開機可確保在您啟動 QRadar 時僅載入授信核心及核心模組。 韌體可確保在將控制權傳遞給核心之前,先簽署核心和核心模組,並將有效金鑰儲存在系統金鑰環中。

在開始之前

安全開機僅適用於 EFI 韌體系統,不適用於 BIOS 系統。

驗證您是否使用 Red Hat Enterprise Linux 7 或更新版本。

只要 IBM 公開金鑰已匯入系統金鑰環中, QRadar 7.5.0 Update Package 2 及升級至 7.5.0 Update Package 2 的任何現行 EFI 系統都可以開啟安全開機。

存取稱為 mokutil 的「機器擁有者金鑰 (MOK)」匯入工具。 若要驗證是否已安裝 mokutil ,請鍵入下列指令: mokutil。 如果未安裝 mokutil 且系統使用 EFI 韌體,您可以從 ISO 或 SFS 安裝 RPM。 RPM 可以在 ISO ( <mount_point>/Packages/mokutil-15-11.el7.x86_64.rpm ) 或 SFS ( <mount_point>/repo/mokutil-15-11.el7.x86_64.rpm ) 上找到

重要事項: 不論是否開啟安全開機,匯入公開金鑰的運作方式都相同。 只有在啟用安全開機時,才會載入這些金鑰。 將金鑰匯入系統金鑰環之後,除非已更新金鑰 (即使在重新安裝 Factory 之後) ,否則不需要重新匯入金鑰。

關於此作業

程序

  1. 完成下列步驟來匯入公開金鑰:
    1. 執行指令: mokutil --import /opt/qradar/si/certs/ibm_public_key.cer

      當系統提示時,請輸入並重新輸入密碼。 當系統重新開機時,會在 MOK 管理程式畫面期間使用此密碼。

    2. 匯入公開金鑰之後,請從遠端主控台重新啟動機器。

      即會開啟「莫經理」畫面。

  2. 若要登記公開金鑰,請完成下列步驟:
    1. 選取 登記莫> 繼續> 是 ,然後輸入您匯入公開金鑰時使用的密碼。
    2. 重新啟動系統。
  3. 若要驗證已匯入公開金鑰,請完成下列其中一個選項:
    • 執行指令 keyctl list %:.system_keyring
    • 如果未安裝 keyutils 套件,您可以使用指令 cat /proc/keys進行驗證。

    如果順利匯入金鑰,則公開金鑰「國際商業系統公司」會出現在清單中。

  4. 若要驗證系統金鑰環中已登記特定金鑰,請使用下列指令: 
    mokutil -t <path to public key>/<public key file>
    對於使用 QRadar 7.5.0 UP2 或更新版本安裝或修補的主機,最新 IBM 公開金鑰位於: /opt/qradar/si/certs/ibm_public_key.cer
    對於 7.5.0 UP2 之後的每一個 QRadar 版本, ISO 及 SFS 在 root 檔案系統中具有 IBM 公開金鑰,適用於 ISO/SFS 中包含的核心模組,檔名: ibm_public_key.cer
  5. 啟用安全開機。

    安全開機只能在 EFI 韌體系統上使用。 啟用或停用安全開機的選項位於韌體設定畫面中,且每一個韌體設定畫面都不同,因此請參閱韌體設定手冊。

  6. 若要在 VMware 中啟用安全開機,請完成下列步驟。

    若要在 VMware 中使用「安全開機」特性,請確保您具有 ESXi 6.5 至更高版本 (硬體版本) 及 Red Hat Enterprise Linux 7 或更高版本 (OS 版本)。

    1. 您可以透過在設定中選取 升級 VM 相容性 選項來升級 ESXi 版本。
      此作業需要關閉機器。
      「升級 VM 相容性」功能表的擷取畫面
    2. 您可以在 設定> VM 選項> 一般選項中,將 OS 版本升級至 Red Hat Enterprise Linux 7。
      Red Hat Enterprise Linux 升級功能表的擷取畫面
    3. 若要在 VMware 系統中啟用安全開機,請選取 編輯設定 > VM 選項 > 開機選項 ,然後選取 安全開機 欄位中的 已啟用 方框。
      VMware 開機選項功能表的擷取畫面。
    4. 若要驗證是否已啟用「安全開機」,請執行指令 mokutil --sb-state
    5. 若要在已安裝 QRadar 的系統上驗證,您可以執行指令 /opt/qradar/bin/myver -sb