Ist der sichere Start unter Ubuntu 16.10 ordnungsgemäß aktiviert?

10

Ich weiß, dass Ubuntu früher mit sicherer Boot-Unterstützung geliefert wurde, aber nur aus Kompatibilitätsgründen.

Bei der Secure Boot-Implementierung von Canonical in Ubuntu 15.10 und früher geht es hauptsächlich um die Aktivierung von Hardware. Auf dieser Seite erfahren Sie, wie Sie Secure Boot auf gängige Konfigurationen für die Aktivierung von Hardware testen und nicht darauf, dass Secure Boot Ihr System härtet. Wenn Sie Secure Boot als Sicherheitsmechanismus verwenden möchten, besteht eine geeignete Lösung darin, Ihre eigenen Schlüssel zu verwenden (optional zusätzliche Schlüssel zu registrieren, siehe oben) und den Bootloader zu aktualisieren, um das Booten eines nicht signierten Kernels zu verhindern. Ubuntu 16.04 LTS ist geplant, um das Erzwingen eines sicheren Starts zu ermöglichen (Details siehe LP: # 1401532).

Ich habe mich gefragt, ob dies ab Ubuntu 16.10 immer noch der Fall ist, da die Dokumentation nicht aktualisiert wird.

Auch wenn man den Grub-Bootloader durch den alten signierten Bootloader ersetzen möchte, der keine signierten Kernel-Images usw. erzwingt. Würde das nicht immer noch funktionieren? wurde es irgendwie widerrufen? sieh das

boot security 16.10 secure-boot John Doe
quelle

Antworten:

17

Installieren mokutil(Es ist auf neueren Ubuntu-Versionen vorinstalliert)

sudo apt-get install mokutil

mokutil ist ein Tool, mit dem Sie Maschinenbesitzerschlüssel (MOK) hinzufügen und / oder entfernen können.

Überprüfen Sie, ob der sichere Start aktiviert ist

mokutil --sb-state

Hinweis :

Für einen normalen Benutzer ist es am besten, den sicheren Start deaktiviert zu halten. Wenn es aktiviert ist, treten Probleme mit proprietären Treibern von nvidia und Broadcom auf.

Wenn Sie den sicheren Start wirklich aktivieren möchten, um das Booten eines nicht signierten Kernels zu verhindern, lesen Sie die folgenden Artikel. Beachten Sie, dass ich noch nie unterschrieben habe, um das Image selbst zu starten. Das Befolgen der Anweisungen kann funktionieren oder nicht.

  1. http://www.rodsbooks.com/efi-bootloaders/secureboot.html
  2. http://www.rodsbooks.com/efi-bootloaders/controlling-sb.html
Manoj
quelle