Как включить безопасную загрузку с Shim в Debian? Я следил за всеми видами статей в Интернете, но теперь я потерял терпение. Кто-нибудь знает как?
1 ответ
4
Последнее, что я слышал, Debian не поддерживает Secure Boot. Если это изменилось в Debian 8, это должно сильно упростить ситуацию. Однако, если Debian не поддерживает безопасную загрузку, я предлагаю вам сделать шаг назад от вопроса о Shim и задать вопрос о безопасной загрузке в целом. С этим шагом назад есть три решения, в широком смысле:
- Вы можете использовать PreLoader Linux Foundation в качестве решения для безопасной загрузки. Этот инструмент концептуально похож на Shim, но он записывает хэши двоичных файлов, которые вы одобрили, что упрощает настройку, чем Shim, который требует криптографического подписывания вашего загрузчика и, возможно, всех ваших ядер.
- Вы можете использовать Shim в качестве решения для безопасной загрузки. Shim предназначен для аутентификации двоичных файлов на основе криптографических подписей, поэтому вы должны подписать свою копию GRUB (или любой загрузчик, который вы используете), а также, возможно, и ваши ядра Linux. Этот процесс немного утомителен и его невозможно описать кратко.
- Вы можете установить свои собственные ключи Secure Boot, а затем использовать их для подписи GRUB (или любого загрузчика, который вы используете) и, возможно, ваших ядер. Процесс подписания такой же, как и при использовании Shim, но вы можете полностью удалить Shim из процесса. Проблема в том, что настройка ключей сложнее, чем установка Shim; но вы также можете удалить ненужные ключи (например, от Microsoft, если вы не используете Windows).
В целом, использование PreLoader, вероятно, будет самым простым решением для вашей ситуации - хотя, если Debian подпишет свой GRUB и ядра, использование Shim может быть таким же простым, если не простым, как только вы найдете файл открытого ключа Debian.
Очевидно, этот ответ не является полным. Как только вы решите, какой подход использовать, вам потребуется больше информации. Обратитесь к моей главной странице безопасной загрузки для получения инструкций по использованию PreLoader и Shim, а также к моей странице « Управление безопасной загрузкой» для получения информации об установке и использовании ваших собственных ключей.
Еще один комментарий: если это установка с одной загрузкой, использование Secure Boot обеспечит минимальные преимущества, особенно если вы используете версию GRUB, которая не поддерживает Secure Boot. Основные преимущества Secure Boot - это система, в которой загрузчик может быть заменен вредоносным ПО. Исторически Windows была мишенью для такого вредоносного ПО, как в конечном итоге взломанной платформы, так и в качестве ОС, используемой для установки вредоносного ПО. Нельзя сказать, что Linux никогда не может быть целью, конечно; но если это так, и если вы используете загрузчик, не требует, чтобы ядро было подписано, вы получаете очень мало в плане безопасности, включив безопасную загрузку, так как злоумышленнику потребуется только заменить ваше стандартное ядро, чтобы получить контроль над ваша система.