如何在 Linux 系统启用 UEFI 的 Secure Boot

最新推荐文章于 2024-10-10 10:27:34 发布
最新推荐文章于 2024-10-10 10:27:34 发布
阅读量2.9w 收藏 29
点赞数 3
分类专栏: Linux 操作系统 软件相关 UNIX类 文章标签: linux uefi 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baccon/article/details/77783509
版权
本文介绍了如何在 Linux 系统中启用 UEFI 的 Secure Boot,包括理解 Secure Boot 的概念、所需工具、预设条件、详细步骤,如建立 PK、KEK、db 密钥对,创建 EFI List 文件,签名文件,以及将签名写入 efivars。通过这个教程,读者可以学会在 ThinkPad 等设备上安全地启用 Secure Boot。
摘要由CSDN通过智能技术生成

如何在 Linux 系统启用 UEFI 的 Secure Boot

概述

Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭 ( 有少数恶心的计算机里面, Secure Boot 被设置为开启,却不存在关闭它的选项,但系统主板内置有 Windows 系统的公钥证书签名,使其只能加载 Windows ,其他系统一律不以加载,用户没的选,不能关闭,还没法换系统,真的很恶心)。 Secure Boot 所需要的公钥证书被保存在计算机的主板的 FLASH 里面(注意不是磁盘里面哦),在主板的一小块 FLASH 里面保存着 PK , KEK, db, dbx 的证书链,所以, 在操作开始前请确保你的计算机 UEFI-BIOS 的 Secure Boot 能够被关闭,否则,发生操作失误,将导致证书不能匹配任何程序代码文件,而使主板拒绝加载任何程序代码文件,就会导致主板变砖 (虽然它不是 BIOS ,但是许多人都这么称呼它为 UEFI-BIOS ,所以,这里也这么称呼其为 UEFI-BIOS) 。

这里说一下 Fedora 是如何做到在 Secure Boot 开启时加载的,它实际上是 Fedora 开源项目向微软垄断公司购买了私钥来签名达到的, Fedora 被系统的主板识别为和 Windows 一样的东西,这种购买行为在开源社区是不鼓励的,但是 Fedora 几乎可以在任何可以加载 Windows 系统上被加载(我上面写不能换系统,有点苛刻了,实际上,只要微软同意,是可以换系统的,呵呵)

本人只在 ThinkPad 测试成功,其他机器未曾实验过,不过仅从理论来看,应该也会成功。

工具

以下工具是必不可少的:

  • openssl
  • efitools
  • sbsigntools

如果你是第三方编译好的软件包来安装的,可以忽略此步:

在用源代码编译 efitools 时,需要 Perl 的一个模块,名字为 File Slurp,在 cpan 可以找到。

预先准备

开机进入系统的 UEFI-BIOS 页面,在安全页面里找到 Secure Boot 选项,先关掉 Secure Boot (如果没有关的话),再删除或清空所有证书文件,使机器从 User Mode 转到 Setup Mode 即为正常,如果这两步

最低0.47元/天 解锁文章
UEFI实战】Secure Boot
jiangwei0512的博客
03-29 1万+
UEFI实战】Secure Boot
linux 网络配置 阮一峰,Linux下的SecureBoot配置
weixin_28788441的博客
05-10 1398
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?算是划水+笔记吧为什么要使用SecureBootSecure Boot is a security standard developed by members of the PC industry to help make sure that your PC boots using only software that ...
Ubuntu安装nvidia显卡驱动
LifeBackwards的专栏
10-10 3963
no-x-check:安装驱动时关闭X服务 -no-nouveau-check:安装驱动时禁用nouveau -no-opengl-files:只安装驱动文件,不安装OpenGL文件。在“/home/heqingchun/soft/nvidia”路径中下载得到“cuda_11.6.2_510.47.03_linux.run”文件 以下是安装时使用的指令。网址:https://developer.nvidia.com/cuda-toolkit-archive 依次点击。
linux secure boot(安全启动)下为内核模块签名
dzqxwzoe的博客
02-27 1292
Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块的签名了,
arch Linux安装至U盘(兼容UEFI和BIOS启动)
scarecrow_sun的博客
06-04 4371
利用一台arch Linux安装arch Linux至一个U盘上
在一台UEFI的机子上安装Linux的引导准备工作
sunxingstar的博客
09-13 686
1.关闭Secure Boot Secure Boot可以拒绝引导那些未被UEFI秘钥签名的操作系统。默认情况下,UEFI固件只会加载那些被签名的引导程序。这个功能被称为“Secure Boot” 或“Trusted Boot”。 Secure Boot 可以避免它–计算机只会引导可以信任的程序,所以恶意引导程序就不能够感染这个系统。 关闭Secure BootSecure B...
linux启动uefi secure boot
最新发布
11-09
Linux启动流程在UEFI Secure Boot下会有所不同。以下是基本步骤: 1. **设置UEFI BIOS**:进入计算机的BIOS设置界面,启用Secure Boot功能,并生成或导入信任证书列表,将Linux发行版的签名添加到这个列表中。 2. ...
如何在启用UEFISecureBoot的硬件上成功安装CentOS7并确保系统安全启动?
10-27
要在启用UEFISecureBoot的硬件上成功安装CentOS7并确保系统安全启动,需要遵循一系列详细步骤。这份《全面的CentOS7安装指南:解决SecureBootUEFI问题》将为你提供在这一过程中的具体指导。 参考资源链接:...
linux如何查看是否打开UEFI Secure Boot
06-01
如果命令输出 "SecureBoot enabled",则表示当前系统启用UEFI Secure Boot。如果输出 "SecureBoot disabled",则表示当前系统禁用了 UEFI Secure Boot。 另外,你还可以查看系统日志来获取更多关于 Secure Boot ...
EFI Tools Clover
10-08
EFI Tools Clover,安装完黑苹果后,运行它即可硬盘引导黑苹果具体教程就不说了
EFI secure boot
江淋的专栏
11-20 4127
一、EFI    secure bootEFI BIOS中的一个子标签,同时EFI BIOS提供证书管理功能,系统可以同时拥有多个证书供用户选择,EFI只能执行经过正确签名的固件    EFI 证书种类比较多:PK,KEK,db,dbx 和 MOK    *一般PC的EFI(例如我的dell)都植入了Microsoft Windows UEFI Driver Publisher's c
DELL G3 3590 重装win10后,显卡不识别,喇叭x号没声解决办法
淡泊明志,宁静致远
07-17 3318
DELL G3 3590 重装win10后,显卡不识别,喇叭x号没声解决办法
调usb眼图的efi tool
16岁的夏天的博客
07-02 453
代码写的很糙,仅供参考 c文件 #include "Uefi.h" #include "Library/UefiBootServicesTableLib.h" #include "Library/UefiRuntimeServicesTableLib.h" #include "Library/DebugLib.h" #include "Library/MemoryAllocationLib.h" #include "Guid/ComExpressConfigVariable.h" #include "Wel
关于EFI toolkit的编译环境的搭建
云醉月-楚狼
06-03 4256
EFI_tool kit ToolKit是又Intel主导的EFI的一套开发工具包,现在已经开源。 http://sourceforge.net/apps/mediawiki/tianocore/index.php?title=EFI_Toolkit 这套工具包不仅可以用来开发编译EFI,还能开发与EFI相关的工具、驱动和程序。比如EFI-Shell,Shell AP等 这套工具符
Secure Boot功能简析
Memblaze
12-26 2348
Secure Boot 是由OCP(Open Compute Project)Security Workgroup制定的标准规范,允许设备在加电/重置之后、正式启动之前,对固件的完整性进行验证,只有验证通过,设备才被允许加载固件,进入正式的启动流程。
UEFI secure boot(2)- UEFI variable及签名认证过程
qq_21186033的博客
05-17 6415
UEFI中Variable的实现 安全启动涉及到的关于启动模式变量以及上述密钥变量的保存,在uefi中,设置开机的启动项,设置开机密码等功能.这部分功能在标准的uefi中都是使用Variable这套机制实现的。而安全启动中的变量的保存也是通过这套机制来实现的。这些变量将分别保存到内存以及flash中。 (1)Variable变量在flash中数据结构 当安全启动禁用时 即在系统中只保存关于一些启动过程中的相关变量时,格式如下: 在flash中的基地址是0x900000001fc01048 typed
uefi启动linux过程_如何在一台UEFI并打开了Secure Boot 的机子上引导和安装Linux
weixin_35906864的博客
01-17 1525
如能读懂英文,建议直接阅读原文。最新的预装windows的电脑默认支持UEFI硬件并且打开了Secure Boot功能。SecureBoot可以拒绝引导那些未被UEFI秘钥签名的操作系统,换句话说,只有微软的认证过的软件可以被引导。微软授权PC厂商允许用户关闭SecureBoot功能,所以你可以关闭它,或者在UFEI增加自定义的公钥绕开这个限制。但是,那些装着WindowsRT的ARM电脑是无法关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值