Ist es sicher, Secure Boot zu deaktivieren? [geschlossen]

15

Ich wollte nur wissen, ob es für mich sicher ist , den sicheren Start zu deaktivieren, um den neuesten Nvidia-Grafiktreiber zu installieren.

Ich verwende Windows 10 zusammen mit Ubuntu 16.04 auf einem Acer Aspire V Nitro . Sie haben jeweils eine eigene Partition auf derselben Festplatte.

VihanAgarwal
quelle
1
Mögliches Duplikat von Was ist sicherer Start? Soll ich es deaktivieren?
TheWanderer

Antworten:

20

Durch den sicheren Start müssen sowohl Windows als auch Ubuntu verlangen, dass alle Treiber auf Systemebene "signiert" sind, was den Nachweis erbringt, dass sie als authentische Software zugelassen sind. Die Idee ist ziemlich gut und unter Windows signiert Microsoft die meisten Treiber.

Unter Ubuntu benötigt der Benutzer jedoch möglicherweise spezielle Treiber für seine WLAN-Karte, Grafikkarte oder Spezialhardware. Diese Treiber sind normalerweise nicht signiert, da sie aus verschiedenen Quellen stammen können. Wenn der sichere Start aktiviert ist und die Treiber nicht signiert sind, werden diese Treiber nicht geladen. Damit sie geladen werden können, muss jeder Treiber "signiert" sein. Dieser Vorgang des Signierens der Treiber ist nicht sehr schwierig, kann jedoch problematisch sein, insbesondere wenn Sie den Treiber ändern / aktualisieren oder die Kernelsoftware, die Teil von Ubuntu ist, ändern / aktualisieren. Für jede Änderung müssen Sie den Treiber zurücktreten.

Stellen Sie sich vor, Ihr System läuft einwandfrei. Sie haben einen sicheren Start aktiviert. Ihre Treiber sind alle ordnungsgemäß signiert. Sie verwenden Ubuntus Software Updater und installieren einen neuen Kernel. Oder Sie installieren Ein neuer Treiber ... und Sie starten das System neu, um festzustellen, dass Ihre WLAN-Karte möglicherweise nicht mehr funktioniert, Ihre Grafikkarte nicht richtig angezeigt wird oder Ihre Spezialhardware nicht mehr funktioniert. Jetzt müssen Sie alle Module neu kompilieren und zurücksetzen. Kein Spaß.

Auf meinem eigenen System verwende ich 5 benutzerdefinierte DKMS-Treibermodule, die nach jedem Ubuntu-Kernel-Update zurückgesetzt werden müssten. Oh mein.

Kurzgeschichte ... deaktiviere den sicheren Start und sei glücklich. Windows ist das egal, und Ubuntu überlebt Software-Updates und Treiberinstallationen mit weniger Aufwand.

Heynnema
quelle
Danke für die Eingabe! Ich habe an einigen Stellen gelesen, dass nach dem Deaktivieren von Secure Boot einige Benutzer Windows nicht mehr starten konnten! Inwieweit ist das wahr? Wie wahrscheinlich ist es außerdem, dass mein Computer durch Deaktivieren des sicheren Startvorgangs einen Virus bekommt?
VihanAgarwal
1
Ich habe Windows 8, 8.1 und 10 mit deaktiviertem sicherem Start ohne Schwierigkeiten verwendet. Ich kann nicht mit anderen Erfahrungen sprechen. Virus? Wenn Sie ein gutes Virenschutzprogramm haben und nicht auf E-Mail- oder Webseiten-Links klicken, die versuchen, Malware zu installieren, ist dies wahrscheinlich in Ordnung. Meine Meinung.
Heynnema
2

Ob es sicher ist, Secure Boot zu deaktivieren, hängt von Ihren Sicherheitsanforderungen ab. Anstatt Secure Boot zu deaktivieren, können Sie auch das Kernelmodul signieren.

Hier finden Sie eine kurze Beschreibung dazu: /ubuntu//a/768310/134479

zwets
quelle
Danke für die Warnung. Ich kann jedoch keine sign-Datei in meinem Verzeichnis linux-headers / script finden. Es werden apt-file search sign-filenur Ergebnisse für Kernel-Versionen bis 4.4.0-28 zurückgegeben. Ich habe die .c-Datei gefunden, die ich wohl kompilieren muss, aber mein Versuch sudo make --directory=/usr/src/linux-headers-4.4.0-45/scripts/ sign-filewar, umständlich (und wahrscheinlich hässlich, weil sudo make) zu sein. Wie erstellt man das Sign-File-Tool mit aktuellen Paketen und wie kann das OP (er fragt in einem anderen Kommentar) den Nvidia-Treiber signieren? Beachten Sie, dass ein aktualisierter Beitrag auf gorka.eguileor.com veröffentlicht wurde.
LiveWireBT
1
@LiveWireBT Dieser hatte mich verblüfft! Ich habe auch keine sign-filein /usr/src/linux-headers-4.4.0-45/scriptsund doch funktioniert das Skript, das ich benutze. Huh ?! Der Teufel steckt im Detail: Das Drehbuch ist drin /usr/src/linux-headers-4.4.0-45-generic/scripts. Dh um die Module anzumelden /lib/modules/$KVER/updates/dkms, verwenden Sie /usr/src/linux-headers-$KVER/scripts/sign-file.
zwets
1

Ja Nein Vielleicht so. Dies ist wirklich eine ziemlich eingeschätzte Frage und nicht wirklich über Ubuntu. Trotzdem werde ich mein Bestes geben, um unparteiisch zu antworten, damit ich keine Argumente anfange und Sie Ihre eigene Entscheidung treffen können.

Secure Boot ist eine Funktion in Windows 8+ -Laptops, mit der ein Betriebssystem nur gestartet werden kann, wenn es von Microsoft signiert ist. So wie Apple es nur zulässt, dass Apps und Firmware, die offiziell signiert sind, auf einem iDevice installiert werden. Diese Funktion kann normalerweise deaktiviert werden, jedoch nicht immer, was zu Problemen mit Linux führen kann.

Der Zweck von Secure Boot besteht darin, zu verhindern, dass Rootkits und andere Malware Ihren Startvorgang für schändliche Zwecke missbrauchen. Hier können Sie überlegen, ob Sie Secure Boot aktiviert lassen möchten oder nicht. Wenn Sie viele zwielichtige Websites besuchen, ohne AdBlocker oder Privacy Badger zu verwenden, sollten Sie darüber nachdenken , die Funktion beizubehalten oder, wie von zwets empfohlen, das NVIDIA-Modul selbst zu signieren . Wenn Sie normal und sicher surfen, ist Secure Boot normalerweise deaktiviert.

Dies kann auch von Ihrem Paranoia-Level abhängen. Wenn Sie lieber kein Internet haben möchten, sollten Sie Secure Boot aktiviert lassen, da dies möglicherweise unsicher ist. Wenn Sie jemand wie ich sind, der dasselbe Kennwort für mehrere Websites verwendet, deaktivieren Sie es.

Es gibt nicht viel Besonderes an Secure Boot. (Ehrlich gesagt scheint es für ein Rootkit nicht allzu schwierig zu sein, es zu umgehen.) Aber es hängt wirklich davon ab, wie Sie sich in Bezug auf Sicherheit fühlen.

Der Wanderer
quelle
Das ist wirklich hilfreich! Ich habe zwar Adblocker, besuche aber eine Menge Websites mit viel Adware und Malware und würde mein Paket lieber signieren. Davon abgesehen bin ich über den Link gegangen, den du von zwets gepostet hast, aber er war nicht spezifisch. Könnten Sie mir ein wenig erklären, wie ich das Modul signieren kann?
VihanAgarwal