本文介绍了UEFI Secure Boot的工作原理,旨在帮助用户理解如何在开启Secure Boot的计算机上安装Linux。主要内容包括Secure Boot如何防止恶意软件,以及安装Linux的三种方法:选择支持Secure Boot的Linux版本、关闭Secure Boot或向UEFI添加公钥。同时提供了关闭Secure Boot的步骤,并指导用户从可移动设备引导安装Linux。
如能读懂英文,建议直接阅读原文。
最新的预装windows的电脑默认支持UEFI硬件并且打开了Secure Boot功能。Secure
Boot可以拒绝引导那些未被UEFI秘钥签名的操作系统,换句话说,只有微软的认证过的软件可以被引导。
微软授权PC厂商允许用户关闭Secure
Boot功能,所以你可以关闭它,或者在UFEI增加自定义的公钥绕开这个限制。但是,那些装着Windows
RT的ARM电脑是无法关闭Secure Boot的。
Secure
Boot是如何工作的
那些预装Windows 8 和Windows
8.1的电脑用UEFI来代替BIOS。默认情况下,UEFI固件只会加载那些被签名的引导程序。这个功能被称为“Secure Boot”
或“Trusted
Boot”。在传统pc机上,是没有这个功能的,后门程序可以加载自身,进而变成一个引导程序。这样的话,后门程序就可以在引导和加载Windows系统之前被加载,这样它就可以躲过操作系统,把自己隐藏得很深。
Secure Boot 可以避免它--计算机只会引导可以信任的程序,所以恶意引导程序就不能够感染这个系统。
在一台 Intel x86 PC机(不是ARM),你可以控制Secure
Boot。你可以选择关闭它,或者往里面增加自己的公钥。举个例子,开源组织可以使用自己的密钥来保证只有合法的linux
操作系统可以被引导。
安装Linux的几种方法
在用Secure Boot的电脑上,你可以用以下几种方法来安装Linux:
选择一个支持Secure Boot的Linux版本:较新的ubuntu,从12.04.2
LTS和12.10开始,可以正常被引导和安装在有Secure
Boot的PC机中。这是因为Ubuntu的第一阶段EFI引导程序是被微软签过名的。然而,一个Ubuntu开发者指出微软认证过程是需要一个特殊的key的,而Ubuntu的其实引导程序并没有用这个key进行签名,而是用使用了一个微软“推荐”的一个简单的key。这意味着,Ubuntu可能不能在所有的UEFI机子上运行。用户可能还是得把Secure
Boot关掉。
关闭Secure Boot:Secure
Boot是可以被关闭的,代价是这会丧失它的认知功能,使你的电脑可以引导任何程序,这跟传统有BIOS的PC机没有任何区别。如果你像安装那些本身不支持Secure
Boot的Windows,比如Windows 7, 那么你也是得关闭它。
往UEFI固件增加一个公钥:某些Linux发行版可能会用它们自己的秘钥对它们的引导程序进行签名,但是这些对应的公钥并没有加入到你的UEFI固件中。这种情况现在来说并不常见。
你应该确认你的Linux版本推荐你使用哪种方法。如果你需要引导一个老一点的Linux版本的话,你可以连相关提示也看不见,这种情况你还是关闭Secure
Boot吧。
你应该可以顺利的安装Ubuntu最近的版本--无论是LTS还是更新的版本--到大多数新型PC机上。请看最后一个部分,这个部分会告诉如何从一个可移动设备进行引导。
如何关闭Secure
Boot
你可以在UEFI固件设置菜单那里设置Secure Boot。为了看到这个菜单,你需要打开windows
8的引导菜单。打开设置面板--按Windows key + I--单击Power,然后按着Shift键并选择重新启动。
你的电脑将会重启并进入一个高级选项菜单。选择Troubleshoot,选择Advanced options,然后选择UEFI
Setting。(在某些Windows 8的机子中,你可能看不到这个菜单,请查阅你的手册)
之后你会进入UEFI Setting菜单,在这里你可以选择关闭Secure Boot或者增加你自己的key。
从可移动设备引导
你可以从可移动设备进行引导,同上面相同的步骤。插入你的移动设备,选择Use a
device,然后选择引导程序所在的设备。
在从这个设备引导之后,你可以正常的安装Linux了,或者就直接使用在这个设备上使用Linux而不用安装它。
请记住,Secure Boot是一个有用的安全特性。你应该打开这个功能,除非你需要运行那些无法工作在Secure
Boot下的操作系统。
6695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
