标签: secure-boot

我最近购买了一台联想 T430，遗憾的是在配置它时，我忘记了 Linux UEFI Fiasco，并保留了预装 Windows 8 的默认选项。

我可以禁用安全启动，但我想知道的是我是否需要在 UEFI 或传统模式下安装 Ubuntu。我知道可以通过在 Windows 旁边正常安装 Ubuntu 并在失败时修复它来解决这个问题（我认为是试验和错误），但我宁愿正常安装 Ubuntu，或者先在 UEFI 模式下安装它。

我使用 Lili（LinuxLive USB Creator）创建了一个基于 64 位 Lubuntu 13.04 iso 和 Windows 8 Uefi 安全启动的可启动 USB 记忆棒。该棒仅在传统引导中启动，而不是在 Uefi 模式下启动。

然后，我用 CD ROM 试了一下，因为有些人认为 U 盘上的一些旧的和隐藏的东西会干扰启动过程。我点击了 ISO 映像（也在 Windows 8 UEFI 安全启动模式下）“刻录到 CD ROM”，如 f.ex 所述。在这里：https : //help.ubuntu.com/community/BurningIsoHowto

它不适用于 Uefi 安全启动。错误信息是：

CDRom has been blocked by the current security policy [OK]

因为 Canonical 没有 *buntu 的 Uefi 许可证。当我使用 Uefi 启动但禁用安全启动时，甚至没有错误消息。在 Legacy 模式下，CD ROM 工作正常。

因为我必须在 Uefi 安全启动模式下启动才能在 Uefi 安全启动模式下将 *buntu 13.04 与 Windows 8 一起安装：如何在 Uefi 安全启动模式下刻录可启动的 Live CD？使用 Win 8 …

还是只是在安装过程中存在的临时性的东西？

顺便说一句，我猜使用密码不会永久关闭安全启动，而是让一些未签名的东西溜走，对吧？

编辑：由于仔细检查后似乎并不是要实际禁用安全启动，而是运行mokutil --disable-validation以告诉垫片不要验证东西（我不知道细节），也许以后安装这些东西更合适，实际上先签他们。我在正确的轨道上吗？

我可以linux-signed*从我的 Ubuntu 16.10 (yakkety) 安装中安全地卸载和清除软件包吗？

我考虑这个的原因是我的 UEFI bios 不使用安全启动，我的启动分区只有 200 MiB (~210 MB)。我对其余分区进行了加密，我真的不想调整它们的大小以扩展引导分区。

不幸的是，200 MiB 几乎不足以容纳 3 个内核。当前的内核每个约为 61 MiB（包括 abi、config、initrd、map 以及已签名和未签名的内核二进制文件）。加入grub、memtest和分区表，把它推到198左右，这显然没有足够的可用空间来更新内核。我通常只保留 2 个内核（当前内核 + 最新内核），但显然在更新过程中我需要三分之一的空间。如果我没有签名的内核（每个 7.2 MiB），我会没事的。

截至今天，我已经安装了内核 4.8.0 的构建版本 41、45 和 46。

以下会破坏我的系统吗？

apt-get purge linux-signed*
grub-mkconfig -o /boot/grub/grub.cfg

（第二行在 ubfan1 的评论后添加，见下文）

我相信它应该删除以下内核包并防止安装新的签名内核：

linux-signed-generic
linux-signed-image-4.8.0-41-generic
linux-signed-image-4.8.0-45-generic
linux-signed-image-4.8.0-46-generic
linux-signed-image-generic

我安装了这些软件包的所有常规（未签名）版本。

作为一个附带问题，有谁知道为什么unicode.pf2文件 (2.3 MiB) 出现在/boot/grub和 中/boot/grub/fonts？我对文件进行了区分，它们完全相同。我假设这是 grub 菜单上使用的字体，但为什么它在同一个分区上出现两次？我对 2.3 MiB 的争论感到愚蠢，但这也可能在我的特定情况下产生巨大的差异。

谢谢！

该.efi.signed内核出现在每一个菜单项/boot/grub/grub.cfg。我知道我的 uefi 固件（我猜 …

您好，我想知道如何防止 init 和 systemd 的单用户模式

当我今天早上启动我的机器时（我仅启用了安全启动和 UEFI），我收到此错误（抱歉图像质量较低）：

是什么意思Image failed to verify with *ACCESS DENIED*？按下后，OK我设法进入 BIOS 并关闭安全启动，并将 UEFI Only 选项设置为接受 UEFI 和 Legacy，这似乎可以解决问题，现在它可以启动，但是我无法设置它，以便安全启动再次打开，这对我构成了安全威胁，所以我想知道问题出在哪里？为什么我收到错误？我的意思是，有什么需要担心的错误吗？为什么是*ACCESS DENIED*我？

在今天早上这个问题发生之前，我能想到的唯一一件事就是接收 grub 和其他一些东西的一些安全更新：

所以基本上我需要知道错误的含义、原因以及如何解决这种情况。我的意思是，这个错误是否意味着我在某种程度上受到了损害，应该进行全新安装或其他操作？或者这只是一个故障？如果是这样，我该如何修复它以便再次使用安全启动？

我在 Lenovo B590 上运行 Ubuntu GNOME 15.10 和 GNOME 3.18。

信息更新：

该命令的输出efibootmgr是：

BootCurrent: 000E
Timeout: 0 seconds
BootOrder: 000E,0000,0001,0002,0003,000C,0006,0007,0008,0009,000A,000B,000D
Boot0000  Setup
Boot0001  Boot Menu
Boot0002  Diagnostic Splash Screen
Boot0003  Lenovo Diagnostics
Boot0004  Startup Interrupt Menu
Boot0005  Rescue and Recovery
Boot0006* USB CD
Boot0007* USB FDD
Boot0008* ATAPI CD1
Boot0009* ATA …

简而言之：禁用安全启动真的是一个安全的好主意吗？

我有两台装有 LinuxMint、Xuntu、Ubuntu 14&5 Win 10 和 Win 8.1 的笔记本电脑。Grub 2 适用于 /、/boot 和 /home 分区。所有这一切都需要在 BIOS 中进行多次重新安装和摆弄，在联想上启用了传统启动（但 UEFI 保持优先）。

我喜欢我的设置，尽管有时我需要重新进入 BIOS，因为 Windows 不断重申自己是优先启动。

我的问题与恶意软件、黑客攻击以及新形式攻击（例如 rootkit 和勒索软件）的出现有关。

我呻吟着想到通过重新启用安全启动来打开蠕虫罐头。但是 - 也许作为一种预防措施是值得的，开始试验并看看我现在是否可以在安全启动模式下启动，在下一波恶意软件开始利用我们这些关闭安全启动的人之前。是时候开始武装起来并要求启动已签名的操作系统了吗，还是将其关闭并利用似乎在世界各地激增的漏洞利用机会仍然安全？

注意：两者都使用相同的 MS 兼容 BIOS Insyde 或类似的东西在 HP 2000 Pentium 4 GB ram 上，另一个是 Lenovo 5080 i3 4 GB ram（是的，我将尽快升级内存:-)）

我有一台 MacBook Pro（15 英寸，2008 年末），它运行 Kubuntu 20.04 直到昨天。

系统提示我有可用的软件更新。据我所知，更新的软件包是 shim、shim-（某物），也许还有一个。我等待软件更新程序和单独的 grub 更新程序完成并在我这样做之前提示我重新启动。现在当我尝试启动时，我看到一个黑屏，上面写着：

设置 MokListRT 失败：参数无效
无法创建 MokListRT：参数无效
导入 MOK 状态失败：import_mok_state() failed
： 无效的参数
由于安全模式被禁用，继续启动_

但引导不会继续。

我今天花了很多时间寻找可能的解决方案。对我来说最有希望的是对 Ubuntu grub2 包错误的评论。评论说要删除“shim/shim-signed/mokutil”，我认为评论者的意思是删除所有这三个包。它们似乎与 UEFI 安全启动有关，这是我的老式 MacBook Pro 不支持的。我不知道为什么我的系统首先会有这些包，然后提示我更新它们。

但是我无法启动到 Kubuntu 来删除它们。引导过程甚至没有向我显示 grub 菜单，在提示输入加密密钥之前，我通常会看到它。我假设磁盘加密不是这里的问题，因为这个过程似乎并没有那么远。

我还有一个 OS X 分区，我可以通过按住option键进入 Mac 引导加载程序来引导它（并且它没有显示我的 Kubuntu 分区作为选项）。在 OS X 中，我下载了最新的 Kubuntu .iso 文件，验证了它的 SHA256 哈希值，并仔细按照 Ubuntu在 macOS 上创建可启动 U 盘教程中的说明进行操作。

当我重新启动时，按住该option键进入 Mac 引导加载程序并选择我创建的这个据称可引导的 USB 记忆棒，我确实得到了 grub 菜单。当我选择默认的 Kubuntu 或安全图形模式选项时，我得到：

[1.142769] Initramfs 解包失败：解码失败 …

这是我所做的：

1. 生成我自己的 SSL 密钥 (db, KEK, PK) x (cer, key)
2. 从内核、GRUB、shim（以及 中的所有其他 EFI 二进制文件/boot）中删除了现有签名，并使用我自己的证书 (db) 对它们进行签名。
3. 重新启动并在 UEFI 中注册我的证书（将其移至用户模式）。

到目前为止，一切都很好。我希望从现在开始，对手只有两种方法来更改我的引导加载程序（GRUB）：

• 转到 UEFI 并禁用 SecureBoot（=> 需要密码）
• 泄露我的私有 KEK 密钥（或 PK），它授权对 db（或 KEK）EFI 变量进行更改，这将允许添加另一个证书，该证书可以签署另一个引导加载程序。

但

现实中发生的情况是，shim 确实检测到 GRUB 已被破坏/修改，它显示了以下内容：

ERROR
Verification failed: (0x1A) Security Violation
<OK>

然后，当我按下 时<OK>，它很高兴地让我添加另一个键（！）

Press any key to perform MOK management

Enroll key from disk

显然，它破坏了整个“信任链”——它使之前的所有步骤变得毫无用处，从某种意义上说，它是一个后门（我知道它试图提供帮助，可能太有帮助了......）。

问题

1. 我对吗？也许我错过了什么或误解了什么？我的印象是，只有密钥的所有者才能更换引导加载程序/EFI/内核（否则，EvilMaid 攻击成为可能，窃取 LUKS 密码变得很容易，等等......）
2. 有解决方法吗？我可以mmx64.efi完全删除MokManager()吗？是否有可能消除这种行为，使其“不那么有帮助”？

聚苯乙烯

以防万一您想知道，那grub.cfg / initrd... - 我正在使用 GRUB 的独立版本来检查它加载的所有内容的 …

为了解决我遇到的另一个问题，有人建议我需要“重新启动到安全（实际上是恢复）模式”。我不知道这到底是什么意思。

我已进入 Dell XPS 笔记本电脑的 BIOS，并确保启用安全启动已打开。这是否意味着我已经安全启动了？