Sicheres Booten aktivieren

Verwenden Sie sicheres Booten, um sicherzustellen, dass nur vertrauenswürdige Kernel und Kernelmodule geladen werden, wenn Sie QRadarstarten. Die Firmware stellt sicher, dass die Kernel-und Kernelmodule signiert sind und ein gültiger Schlüssel im Systemschlüsselring gespeichert wird, bevor die Steuerung an den Kernel übergeben wird.

Vorbereitende Schritte

Secure Boot ist nur auf EFI-Firmware-Systemen verfügbar und nicht für BIOS-Systeme.

Stellen Sie sicher, dass Sie Red Hat Enterprise Linux 7 oder höher verwenden.

QRadar 7.5.0 Aktualisierungspaket 2 und alle aktuellen EFI-Systeme, für die ein Upgrade auf 7.5.0 Aktualisierungspaket 2 durchgeführt wurde, können das sichere Booten aktivieren, solange der öffentliche IBM -Schlüssel in den Systemschlüsselring importiert wurde.

Zugriff auf das MOK-Importtool (Machine Owner Key) mit dem Namen 'mokutil'. Geben Sie den Befehl mokutilein, um zu überprüfen, ob mokutil installiert ist. Wenn mokutil nicht installiert ist und das System EFI-Firmware verwendet, können Sie das RPM von ISO oder SFS installieren. Das RPM kann gefunden werden, indem ISO oder SFS an ein Verzeichnis angehängt und der folgende Befehl ausgeführt wird:
find <mount_point> -name 'mokutil*.rpm'
Wichtig: Der Import des öffentlichen Schlüssels funktioniert auf dieselbe Weise, unabhängig davon, ob das sichere Booten aktiviert ist oder nicht. Diese Schlüssel werden nur geladen, wenn sicheres Booten aktiviert ist. Nachdem der Schlüssel in den Systemschlüsselring importiert wurde, muss er nicht erneut importiert werden, es sei denn, der Schlüssel wurde aktualisiert (auch nach einer erneuten werkseitigen Installation).

Vorgehensweise

  1. Importieren Sie den öffentlichen Schlüssel, indem Sie die folgenden Schritte ausführen:
    1. Führen Sie den Befehl aus: mokutil --import /opt/qradar/si/certs/ibm_public_key.cer

      Geben Sie bei entsprechender Aufforderung ein Kennwort ein und geben Sie es erneut ein. Dieses Kennwort wird während der MOK-Manager-Anzeigen verwendet, wenn das System neu gestartet wird.

    2. Führen Sie nach dem Import des öffentlichen Schlüssels einen Warmstart der Maschine über die ferne Konsole durch.

      Die Anzeige MOK Manager wird geöffnet.

    Hinweis: Um von der Erstinstallation zu importieren, führen Sie den folgenden Befehl aus:
    mokutil --import /media/cdrom/ibm_public_key.cer
  2. Gehen Sie wie folgt vor, um den öffentlichen Schlüssel zu registrieren:
    1. Wählen Sie MOK registrieren > Fortfahren > Ja aus und geben Sie dann das Kennwort ein, das beim Importieren des öffentlichen Schlüssels verwendet wurde.
    2. Starten Sie das System neu.
  3. Führen Sie eine der folgenden Optionen aus, um zu überprüfen, ob der öffentliche Schlüssel importiert wurde:
    • Führen Sie den Befehl keyctl list %:.system_keyringaus.
    • Wenn das Paket keyutils nicht installiert ist, können Sie dies mit dem Befehl cat /proc/keysüberprüfen.

    Wenn der Schlüssel erfolgreich importiert wurde, wird der öffentliche Schlüssel International Business Systems Corporation in der Liste angezeigt.

  4. Mit dem folgenden Befehl können Sie überprüfen, ob ein bestimmter Schlüssel im Systemschlüsselring registriert ist: 
    mokutil -t <path to public key>/<public key file>
    Für einen Host, der mit QRadar 7.5.0 UP2 oder höher installiert oder gepatcht wird, ist der neueste öffentliche IBM -Schlüssel unter /opt/qradar/si/certs/ibm_public_key.cerverfügbar.
    Für jede Version von QRadar nach 7.5.0 UP2 verfügen ISO und SFS über den öffentlichen Schlüssel IBM im Stammdateisystem, der für die Kernelmodule im ISO/SFS-Dateinamen gültig ist: ibm_public_key.cer.
  5. Sicheres Booten aktivieren.

    Sicheres Booten ist nur auf EFI-Firmware-Systemen verfügbar. Die Option zum Aktivieren oder Inaktivieren des sicheren Bootvorgangs befindet sich in der Anzeige für die Firmwarekonfiguration. Die einzelnen Anzeigen für die Firmwarekonfiguration sind unterschiedlich. Informationen hierzu finden Sie im Handbuch zur Firmwarekonfiguration.

  6. Führen Sie die folgenden Schritte aus, um sicheres Booten in VMware zu aktivieren.

    Um die Secure Boot-Funktion in VMware nutzen zu können, stellen Sie sicher, dass ESXi 6.5 auf höher ist (Hardwareversion) und Red Hat Enterprise Linux 7 oder höher (Betriebssystemversion).

    1. Sie können ein Upgrade für die ESXi-Version durchführen, wenn Sie in den Einstellungen die Option VM-Kompatibilität aktualisieren auswählen.
      Die Maschine muss für diesen Vorgang ausgeschaltet sein.
      Screenshot des Menüs 'VM-Kompatibilität aktualisieren'
    2. Sie können unter Einstellungen > VM-Optionen > Allgemeine Optionenein Upgrade der Betriebssystemversion auf Red Hat Enterprise Linux 7 durchführen.
      Screenshot des Upgrademenüs von Red Hat Enterprise Linux
    3. Um sicheres Booten in einem VMware -System zu aktivieren, wählen Sie Einstellungen bearbeiten > VM-Optionen > Boot-Optionen und aktivieren Sie das Feld Aktiviert im Feld Sicheres Booten.
      Screenshot des VMware -Bootoptionsmenüs.
    4. Um zu überprüfen, ob Secure Boot aktiviert ist, führen Sie den Befehl mokutil --sb-stateaus.
    5. Zur Überprüfung auf einem System, auf dem QRadar installiert ist, können Sie den Befehl /opt/qradar/bin/myver -sbausführen.