Ich wollte nur wissen, ob es für mich sicher ist , den sicheren Start zu deaktivieren, um den neuesten Nvidia-Grafiktreiber zu installieren.
Ich verwende Windows 10 zusammen mit Ubuntu 16.04 auf einem Acer Aspire V Nitro . Sie haben jeweils eine eigene Partition auf derselben Festplatte.
16.04
windows-10
acer
secure-boot
VihanAgarwal
quelle
quelle
Antworten:
Durch den sicheren Start müssen sowohl Windows als auch Ubuntu verlangen, dass alle Treiber auf Systemebene "signiert" sind, was den Nachweis erbringt, dass sie als authentische Software zugelassen sind. Die Idee ist ziemlich gut und unter Windows signiert Microsoft die meisten Treiber.
Unter Ubuntu benötigt der Benutzer jedoch möglicherweise spezielle Treiber für seine WLAN-Karte, Grafikkarte oder Spezialhardware. Diese Treiber sind normalerweise nicht signiert, da sie aus verschiedenen Quellen stammen können. Wenn der sichere Start aktiviert ist und die Treiber nicht signiert sind, werden diese Treiber nicht geladen. Damit sie geladen werden können, muss jeder Treiber "signiert" sein. Dieser Vorgang des Signierens der Treiber ist nicht sehr schwierig, kann jedoch problematisch sein, insbesondere wenn Sie den Treiber ändern / aktualisieren oder die Kernelsoftware, die Teil von Ubuntu ist, ändern / aktualisieren. Für jede Änderung müssen Sie den Treiber zurücktreten.
Stellen Sie sich vor, Ihr System läuft einwandfrei. Sie haben einen sicheren Start aktiviert. Ihre Treiber sind alle ordnungsgemäß signiert. Sie verwenden Ubuntus Software Updater und installieren einen neuen Kernel. Oder Sie installieren Ein neuer Treiber ... und Sie starten das System neu, um festzustellen, dass Ihre WLAN-Karte möglicherweise nicht mehr funktioniert, Ihre Grafikkarte nicht richtig angezeigt wird oder Ihre Spezialhardware nicht mehr funktioniert. Jetzt müssen Sie alle Module neu kompilieren und zurücksetzen. Kein Spaß.
Auf meinem eigenen System verwende ich 5 benutzerdefinierte DKMS-Treibermodule, die nach jedem Ubuntu-Kernel-Update zurückgesetzt werden müssten. Oh mein.
Kurzgeschichte ... deaktiviere den sicheren Start und sei glücklich. Windows ist das egal, und Ubuntu überlebt Software-Updates und Treiberinstallationen mit weniger Aufwand.
quelle
Ob es sicher ist, Secure Boot zu deaktivieren, hängt von Ihren Sicherheitsanforderungen ab. Anstatt Secure Boot zu deaktivieren, können Sie auch das Kernelmodul signieren.
Hier finden Sie eine kurze Beschreibung dazu: /ubuntu//a/768310/134479
quelle
apt-file search sign-filenur Ergebnisse für Kernel-Versionen bis 4.4.0-28 zurückgegeben. Ich habe die .c-Datei gefunden, die ich wohl kompilieren muss, aber mein Versuchsudo make --directory=/usr/src/linux-headers-4.4.0-45/scripts/ sign-filewar, umständlich (und wahrscheinlich hässlich, weil sudo make) zu sein. Wie erstellt man das Sign-File-Tool mit aktuellen Paketen und wie kann das OP (er fragt in einem anderen Kommentar) den Nvidia-Treiber signieren? Beachten Sie, dass ein aktualisierter Beitrag auf gorka.eguileor.com veröffentlicht wurde.sign-filein/usr/src/linux-headers-4.4.0-45/scriptsund doch funktioniert das Skript, das ich benutze. Huh ?! Der Teufel steckt im Detail: Das Drehbuch ist drin/usr/src/linux-headers-4.4.0-45-generic/scripts. Dh um die Module anzumelden/lib/modules/$KVER/updates/dkms, verwenden Sie/usr/src/linux-headers-$KVER/scripts/sign-file.Ja Nein Vielleicht so. Dies ist wirklich eine ziemlich eingeschätzte Frage und nicht wirklich über Ubuntu. Trotzdem werde ich mein Bestes geben, um unparteiisch zu antworten, damit ich keine Argumente anfange und Sie Ihre eigene Entscheidung treffen können.
Secure Boot ist eine Funktion in Windows 8+ -Laptops, mit der ein Betriebssystem nur gestartet werden kann, wenn es von Microsoft signiert ist. So wie Apple es nur zulässt, dass Apps und Firmware, die offiziell signiert sind, auf einem iDevice installiert werden. Diese Funktion kann normalerweise deaktiviert werden, jedoch nicht immer, was zu Problemen mit Linux führen kann.
Der Zweck von Secure Boot besteht darin, zu verhindern, dass Rootkits und andere Malware Ihren Startvorgang für schändliche Zwecke missbrauchen. Hier können Sie überlegen, ob Sie Secure Boot aktiviert lassen möchten oder nicht. Wenn Sie viele zwielichtige Websites besuchen, ohne AdBlocker oder Privacy Badger zu verwenden, sollten Sie darüber nachdenken , die Funktion beizubehalten oder, wie von zwets empfohlen, das NVIDIA-Modul selbst zu signieren . Wenn Sie normal und sicher surfen, ist Secure Boot normalerweise deaktiviert.
Dies kann auch von Ihrem Paranoia-Level abhängen. Wenn Sie lieber kein Internet haben möchten, sollten Sie Secure Boot aktiviert lassen, da dies möglicherweise unsicher ist. Wenn Sie jemand wie ich sind, der dasselbe Kennwort für mehrere Websites verwendet, deaktivieren Sie es.
Es gibt nicht viel Besonderes an Secure Boot. (Ehrlich gesagt scheint es für ein Rootkit nicht allzu schwierig zu sein, es zu umgehen.) Aber es hängt wirklich davon ab, wie Sie sich in Bezug auf Sicherheit fühlen.
quelle