标签: secure-boot

我安装了 Windows 10。我正在尝试安装 ubuntu。我应该关闭安全启动还是保持开启？它有什么作用？

我知道 Ubuntu 曾经提供安全启动支持，但只是为了兼容性。

Canonical 在 Ubuntu 15.10 及早期版本中的安全启动实现主要是关于硬件启用，本页重点介绍如何测试安全启动以用于常见的硬件启用配置，而不是启用安全启动来强化您的系统。如果您想使用安全启动作为安全机制，合适的解决方案是使用您自己的密钥（可选地注册附加密钥，见上文）并更新引导加载程序以禁止启动未签名的内核。Ubuntu 16.04 LTS 计划启用强制安全启动（有关详细信息，请参阅 LP：#1401532）。

我想知道 Ubuntu 16.10 是否仍然如此，因为文档没有更新。

此外，如果将 grub 引导加载程序替换为不强制执行签名内核映像等的旧签名引导加载程序，那仍然有效吗？它以某种方式被撤销了吗？看到这个

根据https://wiki.ubuntu.com/UEFI/SecureBoot Initrd 映像未经过验证。这些信息是最新的吗？这将使整个安全启动完全无用，因为攻击者可以很容易地用记录 LUKS 密码并将其发送给他的 initramfs 替换 initramfs...这反过来会使所有模块签名麻烦并在安全启动上禁用休眠完全荒谬。

如果确实如此，是否有任何启动板错误/功能请求我们可以投票以使安全启动真正安全？

OTOH，如果此声明已过时，验证如何进行？在新内核安装过程中生成 initrd 文件时，用于签名 initrd 文件的密钥对在哪里？哪个组件稍后验证签名？（shim、MOK、GRUB、内核本身？）...或者也许以某种方式使用 PCR 和 TPM？
...内核命令行怎么样？这也必须经过签名/验证才能确保启动安全......

我被要求禁用安全启动以便在 ubuntu 16.04 上安装第三方驱动程序。所以我按照 MOK 管理的说明禁用了安全启动。

但是安全启动仍然在bios中。似乎 ubuntu 为自己添加了一个例外，而不是完全关闭它。

这是发生的事情：

1：笔记本电脑有win10和ubuntu16.04，两者都安装在uefi中并开启了安全启动。

2：在 grub 闪烁之前，它显示“以不安全模式启动”，然后出现 grub。

3：然后我在win10中启动并使用本指南检查安全启动是否开启，它表明它已开启。

这里发生了什么？安全启动是打开还是关闭？

ubuntu 是否在安全启动数据库中为自己添加了一个例外？

如果 ubuntu 为自己添加了异常，我想知道是否可以添加更多异常或删除现有异常？

我正在尝试在 Ubuntu 16.04 上安装 VirtualBox，同时保持安全启动。当我通过 Synaptic 安装它时，我被要求删除 SecureBoot，我说No。

我遵循以下说明： 升级到 Ubuntu 16.04 后无法加载“vboxdrv”（我想保持安全启动） 和 https://stegard.net/2016/10/virtualbox-secure-boot-ubuntu-fail/ 两者都是几乎相同（我将 MOK 文件保留在 /root 目录中，就像在第二个链接中一样）。一切似乎都正常，我重新启动，再次输入密码，重新启动。都好

但是当我尝试使用 VirtualBox 时，它仍然无法正常工作。如果我从终端运行它，我会得到：

WARNING: The character device /dev/vboxdrv does not exist.
     Please install the virtualbox-dkms package and the appropriate
     headers, most likely linux-headers-generic.

     You will not be able to start VMs until this problem is fixed.

但是这两个软件包已经安装并且是最新的。

另一篇文章的最佳答案中的评论说virtualbox-dkms在遵循这些说明之前重新安装。我试过了，结果一样。

我在这里尝试了答案： VirtualBox 的安装问题 这再次提示我询问是否要禁用安全启动，我说No，然后回到第一个。

如果我跑modprobe我得到： modprobe: ERROR: could not insert 'vboxdrv': Required key not …

您好，在成功安装 Ubuntu 12.10 amd64 后，我现在无法启动 Windows 8。

以下是我的行动：

1. 从 Windows 8 Computer Management 为 Ubuntu 腾出空间 (15 GB)
2. 使用 EFI 启动 Ubuntu 12.10 amd64 LiveUSB 并启用安全启动
3. 最后创建了 2 个新分区（13 GB Ext4 Root amd 2 GB Swap）
4. 选择 Windows 8 EFI 系统分区来安装引导加载程序

Grub 在启动时给我：

1. Ubuntu（工作没有问题）
2. Windows 恢复环境（很多错误）
3. Windows 8（下面描述了 2 条错误消息）

2 条错误消息是：

• error: can't find command drivemap.
• error: invalid EFI file path

是时候升级笔记本电脑了，我打算购买一台低于 300 英镑的笔记本电脑，它预装了 Windows 8。然后我计划将其擦干净并安装新的 Ubuntu 13.10 或使用 Windows 8 双启动它。

UEFI/安全启动/快速启动(FastStartup) 是否仍然给 Ubuntu 13.10 用户带来问题？

当 Windows 8 出现关于 SecureBoot 导致问题的消息时，我听说了很多问题，只是想知道这个问题现在是否已经解决或解决了。

在与我的独立显卡作斗争时，我重新安装了 Ubuntu 几次。前几次我非常小心地将我用来签署 dkms 内核模块的 .priv 和 .der 密钥移动到另一个分区。不幸的是，随着我越来越沮丧，我变得不那么小心了，显然不小心从备份中剪切和粘贴（而不是复制和粘贴），然后在下次重新安装时重新格式化唯一剩余的密钥。我曾经photorec尝试恢复文件，但不幸的是没有恢复 *.der 或 *.priv 文件。

似乎取消注册机器所有者密钥 (MOK) 的预期方法是

mokutil --delete keyname.der

鉴于我不再拥有公钥，还有其他方法可以取消注册吗？

我将我的开发版 Dell XPS 13 9360（即单启动 Ubuntu）从 17.10 升级到 18.04。在安装过程中，我被问到是否要创建一个 MOK 密钥来在安全启动下安装第三方驱动程序。我说是并指定了密码。重启后遇到MOK管理菜单，有四个选项（iirc）：

1. continue boot
2. change secure boot state
3. enroll key from disk
4. enroll hash from disk

我选择了3。但是，它不接受我的密码，所以我只能继续使用1。

升级没有问题，但为了自己决定这是否是一个问题，我想更好地了解情况。

具体来说，我想知道：

1. 是enroll key from disk正确的选择吗？
2. 为什么我的密码被拒绝？莫非 MOK 管理菜单使用的键盘布局与我在 Ubuntu 中的标准布局不同？
3. 这是否意味着未安装某些第三方驱动程序？我如何知道哪些驱动程序，以及如何获得“第二次机会”，可以这么说？
4. mokutil --sb-state说 SecureBoot 已启用，但我似乎收到一条消息，说至少有时在启动时禁用了安全启动。也许只有当我重新启动时？这很重要吗？
5. 我什至需要在这个系统上使用第三方驱动程序吗？我觉得唯一可以更好地工作的组件是 wifi、触摸板（打字时的手掌灵敏度）和插入耳机的音频质量。

今天我想在我的电脑上安装 Kubuntu 18.10，但我很惊讶在安装过程中出现了信息：“安装第三方驱动程序需要配置安全启动”，这对我来说没有多大意义，因为第三方驱动程序是那些无法在启用安全启动的情况下安装。我不需要安全启动，但我很好奇，如果有什么改变，现在我们可以使用带有安全启动的第三方驱动程序，还是该信息有误？

这是在安装窗口中的外观图像：