Rendszerindítás – Secure Boot
A Secure boot gyakorlatilag azt jeleni, hogy a Microsoft által beépítésre került egy lista a hitelesített kulcsokkal aláírt efi-állományokról, amelyeket ha nem talál a BIOS, akkor nem teszi lehetővé az eszköz listázását, és a rendszer indítását. A kitalálása óta kiderült, hogy egyáltalán nem nyújt olyan biztonságot, mint ahogy beharangozták, ráadásul rengeteg problémát okoz. A “Secure Boot” használatának a feltétele az aláírt kernel modulok is!
RedHat dokumentáció:
Csatlakoztassuk a /boot partíciót, ha még nem tettük
UEFI biztonságos rendszerindítás
először írja alá a rendszermagot és a modulokat az itt látható módon
A számítógép bekapcsolása után közvetlenül :
- nyomja meg az f1 f2 f8 f9 f10 esc vagy a delete billentyűt a BIOS betöltéséhez.
- állítsa be a biost, hogy először töltse be az uefi usb eszközöket, tiltsa le a biztonságos rendszerindítást, és engedélyezze a régi módot. mentse a beállításokat és lépjen ki.
- nyomja meg az f1 f2 f8 f9 f10 esc vagy a delete billentyűt a rendszerindítási kiválasztó menü betöltéséhez.
- töltse be az EFI-t a fájlból, mutasson a /boot/EFI/FUNTOO/shim elemre
- A shim hozzáférési szabálysértési figyelmeztetésekkel köszönti Önt.
- hegedülni, hogy a mok menedzser felrakja.
- válassza ki a kulcs hozzáadását
- mutasson a /boot/efi/EFI/SECBOOT/grubx86.efi fájlra
- nyomja meg az f1 f2 f8 f9 f10 esc vagy a delete billentyűt a rendszerindítási kiválasztó menü betöltéséhez.
- töltse be az EFI-t a fájlból, és mutasson ismét a /boot/EFI/FUNTOO/shim elemre, amely mostantól biztonságos rendszerindítás alatt betölti a funtoo-t.
Kulcskezelés
- Az efi eszközök lehetővé teszik az uefi biztonságos rendszerindítási platformjainak kezelését:
0 1 2 | telepites efitools |
- Az sbsigntools a fájlok aláírására és ellenőrzésére szolgál a biztonságos rendszerindításhoz:
0 1 2 | telepites sbsigntools |
- A mokutil betölti a tetszőleges géptulajdonos kulcskezelő konzolját, és lehetővé teszi olyan kulcsok betöltését, amelyeket nem ír alá a Microsoft:
0 1 2 | telepites mokutil |
Hasznos
Az sbsign régebbi verziói nem számolták újra megfelelően a PE/COFF fejléc ellenőrző összegét, ami miatt egyes firmware-ek elutasítják az eredményül kapott fájlt. (Ezt csak a 0.9.3-as verzióban javították .)
Vedd figyelembe, hogy a Secure Boot pontosan ugyanazt az “Authenticode” formátumot használja az .efi fájlok aláírására, mint a Windows az .exe fájlok aláírására, így nem szükséges kifejezetten az sbsign használata – használhat alternatív eszközöket, például osslsigncodevagy akár a Windowst is signtool.exe.
0 1 2 3 4 | osslsigncode sign -cert db.crt -key db.key \ -in /boot/efi/EFI/Grub/grubx64.efi \ -out /boot/efi/EFI/Grub/grubx64_signed.efi ; |
A fentiek szerint ügyeljen arra, hogy NE jelentkezzen be a következővel osslsigncode: . Ez sikertelen lesz, és a kép megsemmisül:
0 1 2 3 4 5 6 7 8 | # osslsigncode -certs db.crt -key db.key -h sha256 \ -in /boot/efi/EFI/Grub/grubx64.efi \ -out /boot/efi/EFI/Grub/grubx64.efi Bus error # ls -l /boot/efi/EFI/Grub/grubx64.efi -rw-r--r-- 1 root root 0 Jun 13 14:55 /boot/efi/EFI/Grub/grubx64.efi |
A következővel aláírt képek osslsigncodetovábbra is érvényesek a következővel sbverify:
0 1 2 3 4 5 6 7 8 9 10 11 | # sbverify --list /boot/efi/EFI/Grub/grubx64_signed.efi signature 1 image signature issuers: - /CN=My Secure db image signature certificates: - subject: /CN=My Secure db issuer: /CN=My Secure db # sbverify --cert db.crt /boot/efi/EFI/Grub/grubx64_signed.efi Signature verification OK |
Hozzászólások lezárva