如何在 Linux 系统启用 UEFI 的 Secure Boot

最新推荐文章于 2024-08-16 09:57:30 发布
最新推荐文章于 2024-08-16 09:57:30 发布
阅读量2.8w 收藏 28
点赞数 3
分类专栏: Linux 操作系统 软件相关 UNIX类 文章标签: linux uefi 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baccon/article/details/77783509
版权
本文介绍了如何在 Linux 系统中启用 UEFI 的 Secure Boot,包括理解 Secure Boot 的概念、所需工具、预设条件、详细步骤,如建立 PK、KEK、db 密钥对,创建 EFI List 文件,签名文件,以及将签名写入 efivars。通过这个教程,读者可以学会在 ThinkPad 等设备上安全地启用 Secure Boot。
摘要由CSDN通过智能技术生成

如何在 Linux 系统启用 UEFI 的 Secure Boot

概述

Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭 ( 有少数恶心的计算机里面, Secure Boot 被设置为开启,却不存在关闭它的选项,但系统主板内置有 Windows 系统的公钥证书签名,使其只能加载 Windows ,其他系统一律不以加载,用户没的选,不能关闭,还没法换系统,真的很恶心)。 Secure Boot 所需要的公钥证书被保存在计算机的主板的 FLASH 里面(注意不是磁盘里面哦),在主板的一小块 FLASH 里面保存着 PK , KEK, db, dbx 的证书链,所以, 在操作开始前请确保你的计算机 UEFI-BIOS 的 Secure Boot 能够被关闭,否则,发生操作失误,将导致证书不能匹配任何程序代码文件,而使主板拒绝加载任何程序代码文件,就会导致主板变砖 (虽然它不是 BIOS ,但是许多人都这么称呼它为 UEFI-BIOS ,所以,这里也这么称呼其为 UEFI-BIOS) 。

这里说一下 Fedora 是如何做到在 Secure Boot 开启时加载的,它实际上是 Fedora 开源项目向微软垄断公司购买了私钥来签名达到的, Fedora 被系统的主板识别为和 Windows 一样的东西,这种购买行为在开源社区是不鼓励的,但是 Fedora 几乎可以在任何可以加载 Windows 系统上被加载(我上面写不能换系统,有点苛刻了,实际上,只要微软同意,是可以换系统的,呵呵)

本人只在 ThinkPad 测试成功,其他机器未曾实验过,不过仅从理论来看,应该也会成功。

工具

以下工具是必不可少的:

  • openssl
  • efitools
  • sbsigntools

如果你是第三方编译好的软件包来安装的,可以忽略此步:

在用源代码编译 efitools 时,需要 Perl 的一个模块,名字为 File Slurp,在 cpan 可以找到。

预先准备

开机进入系统的 UEFI-BIOS 页面,在安全页面里找到 Secure Boot 选项,先关掉 Secure Boot (如果没有关的话),再删除或清空所有证书文件,使机器从 User Mode 转到 Setup Mode 即为正常,如果这两步

最低0.47元/天 解锁文章
hchen90
关注
专栏目录
DELL G3 3590 重装win10后,显卡不识别,喇叭x号没声解决办法
淡泊明志,宁静致远
07-17 3192
DELL G3 3590 重装win10后,显卡不识别,喇叭x号没声解决办法
linux 网络配置 阮一峰,Linux下的SecureBoot配置
weixin_28788441的博客
05-10 1386
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?算是划水+笔记吧为什么要使用SecureBootSecure Boot is a security standard developed by members of the PC industry to help make sure that your PC boots using only software that ...
linux secure boot(安全启动)下为内核模块签名
dzqxwzoe的博客
02-27 1177
Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块的签名了,
【信创】LinuxEFI引导配置工具efibootmgr _ 统信 _ 麒麟 _ 方德
最新发布
鹏大圣运维
08-16 1073
Hello,大家好啊!今天给大家带来一篇关于在信创操作系统上使用EFI引导管理器配置工具efibootmgr命令详解的文章。efibootmgr是一个在基于UEFI系统中管理EFI引导条目的命令行工具,它允许用户查看、添加、删除和修改EFI引导项。本文将详细介绍efibootmgr的基本使用方法和常见操作。欢迎大家分享转发,点个关注和在看吧!
UEFI实战】Secure Boot
jiangwei0512的博客
03-29 1万+
UEFI实战】Secure Boot
arch Linux安装至U盘(兼容UEFI和BIOS启动)
scarecrow_sun的博客
06-04 4184
利用一台arch Linux安装arch Linux至一个U盘上
EFI secure boot
江淋的专栏
11-20 4054
一、EFI    secure bootEFI BIOS中的一个子标签,同时EFI BIOS提供证书管理功能,系统可以同时拥有多个证书供用户选择,EFI只能执行经过正确签名的固件    EFI 证书种类比较多:PK,KEK,db,dbx 和 MOK    *一般PC的EFI(例如我的dell)都植入了Microsoft Windows UEFI Driver Publisher's c
调usb眼图的efi tool
16岁的夏天的博客
07-02 430
代码写的很糙,仅供参考 c文件 #include "Uefi.h" #include "Library/UefiBootServicesTableLib.h" #include "Library/UefiRuntimeServicesTableLib.h" #include "Library/DebugLib.h" #include "Library/MemoryAllocationLib.h" #include "Guid/ComExpressConfigVariable.h" #include "Wel
关于EFI toolkit的编译环境的搭建
云醉月-楚狼
06-03 4229
EFI_tool kit ToolKit是又Intel主导的EFI的一套开发工具包,现在已经开源。 http://sourceforge.net/apps/mediawiki/tianocore/index.php?title=EFI_Toolkit 这套工具包不仅可以用来开发编译EFI,还能开发与EFI相关的工具、驱动和程序。比如EFI-Shell,Shell AP等 这套工具符
EFI Tools Clover
10-08
EFI Tools Clover,安装完黑苹果后,运行它即可硬盘引导黑苹果具体教程就不说了
Secure Boot功能简析
Memblaze
12-26 2177
Secure Boot 是由OCP(Open Compute Project)Security Workgroup制定的标准规范,允许设备在加电/重置之后、正式启动之前,对固件的完整性进行验证,只有验证通过,设备才被允许加载固件,进入正式的启动流程。
UEFI secure boot(2)- UEFI variable及签名认证过程
qq_21186033的博客
05-17 6108
UEFI中Variable的实现 安全启动涉及到的关于启动模式变量以及上述密钥变量的保存,在uefi中,设置开机的启动项,设置开机密码等功能.这部分功能在标准的uefi中都是使用Variable这套机制实现的。而安全启动中的变量的保存也是通过这套机制来实现的。这些变量将分别保存到内存以及flash中。 (1)Variable变量在flash中数据结构 当安全启动禁用时 即在系统中只保存关于一些启动过程中的相关变量时,格式如下: 在flash中的基地址是0x900000001fc01048 typed
uefi启动linux过程_如何在一台UEFI并打开了Secure Boot 的机子上引导和安装Linux
weixin_35906864的博客
01-17 1482
如能读懂英文,建议直接阅读原文。最新的预装windows的电脑默认支持UEFI硬件并且打开了Secure Boot功能。SecureBoot可以拒绝引导那些未被UEFI秘钥签名的操作系统,换句话说,只有微软的认证过的软件可以被引导。微软授权PC厂商允许用户关闭SecureBoot功能,所以你可以关闭它,或者在UFEI增加自定义的公钥绕开这个限制。但是,那些装着WindowsRT的ARM电脑是无法关...
Linux secure boot(安全启动)时添加Nvidia显卡驱动
天九歌
11-13 2837
原文链接: http://www.bubuko.com/infodetail-809913.html 开启Secure boot情况下,在Fedora 21下安装Nvidia 显卡驱动的方法。 Nvidia显卡驱动可以从官网上下载最新版>> 点击进入 下载后添加可执行权限: #chmod +x NVIDIA-Linux*.run 注意,安装Nvid
hp linux 禁用u盘启动项,BIOS关闭Secure Boot(安全启动)方法大全(联想,华硕,DELL,HP等品牌)...
weixin_36205072的博客
05-08 4382
2019-11-20微星B450系列是微信推出的搭配AMD锐龙处理器使用的一款主板,具有性能好,稳定,价格实惠的特点,很多朋友组装好电脑之后想要安装Win7系统,却不知道如何下手,毕竟这款主板和锐龙搭配需要系统具有USB3 0 3 1驱动还需要驱动支持,加上BIOS设置 是 ...2019-11-20技嘉B450主板是技嘉推出的AMD平台的主析以,主要适用于AMD锐龙系列处理器,性价比非常之高,但...
如何关闭secure bootsecure boot的关闭方法
热门推荐
xitongzhijianet的博客
11-25 2万+
secure boot系统中默认是开启的,主要用途是防止恶意软件侵入,但是有用户想加快系统的运行速度,咨询小编secure boot可以关闭吗?1、点击键盘上下左右键,在“Security或者Boot”导航夹内找到secure boot选项。3、点击键盘上键,选中上图中的“Disabled”,选中后按回车键就关闭“secure boot”了。2、点击键盘下键跳到“Enabled”选项,点击回车键弹出如下图。重启电脑,同时按“F1键”、“F2键”、“Del键”即可进入。,更多精彩内容等着你。
pe格式的Image boot flow
jason的笔记
01-24 1527
当使用uefi boot kernel的时候,kernel必须是PE格式的,当从UEFI跳到kernel 的入口地址是在efi-entry.s中,然后会call efi_entry。最后再跳到/kernel/arch/arm64/kernel/head.S 中执行 我们平时看到都Booting Linux Kernel 就是在efi_entry 中打印出来的。 从sys_table 中的到dr
linux如何查看是否打开UEFI Secure Boot
06-01
要查看当前 Linux 系统是否启用UEFI Secure Boot,可以执行以下命令: ``` mokutil --sb-state ``` 如果命令输出 "SecureBoot enabled",则表示当前系统启用UEFI Secure Boot。如果输出 "SecureBoot disabled",则表示当前系统禁用了 UEFI Secure Boot。 另外,你还可以查看系统日志来获取更多关于 Secure Boot 的信息。执行以下命令可以查看最近的 Secure Boot 相关日志信息: ``` journalctl -b | grep Secure ``` 这个命令将输出最近启动时 Secure Boot 的状态和相关信息。 请注意,在某些 Linux 发行版中,检查 UEFI Secure Boot 状态可能需要 root 用户权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值