我读到,除了使用 shim 和签名的 GRUB 二进制文件进行安全启动之外,还有另一种方法,即使用Linux 基金会的 PreLoader或者Linux 基金会的安全启动系统,但是我如何使用它?
答案1
设置 PreLoader
- 查找并安装您的 EFI 系统分区并备份其内容。某些文件可能是制造商特定的,无法通过重新安装 Windows 来恢复。
- 在有效的 UEFI Ubuntu 安装中,它被挂载为
/boot/efi/
并且至少包含一个名为 的文件夹EFI
。从平台角度(您的计算机)来看,此文件夹\EFI\
位于启动阶段。(/media/my_efi_system_partition/EFI
=\EFI\
)
- 在有效的 UEFI Ubuntu 安装中,它被挂载为
- 复制或重命名您想要使用的 EFI 加载程序
\EFI\BOOT\loader.efi
。某些加载程序(如 gummiboot)需要正确配置。 - 复制预加载器到
\EFI\BOOT\bootx64.efi
和HashTool.efi
到同一个目录。
您可以在以下网址找到更详细的解释Rod Smith 的网站。
使用 HashTool
如果您仔细遵循说明并启用了安全启动,则下次启动时应该会看到以下屏幕,这些屏幕将指导您注册未签名的加载程序的哈希值,否则将破坏信任链。
┌──────────────────────────────────────────────────────────────────────────────┐
│ Failed to start loader │
│ │
│ It should be called loader.efi (in the current directory) │
│ Please enrol its hash and try again │
│ │
│ I will now execute HashTool for you to do this │
│ │
│ │
│ ┌────┐ │
│ │ OK │ │
│ └────┘ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
└──────────────────────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Select Binary │
│ │
│ The Selected Binary will have its hash Enrolled │
│ This means it will Subsequently Boot with no prompting │
│ Remember to make sure it is a genuine binary before Enroling its hash │
│ │
│ │
│ ┌─────────────────────┐ │
│ │ Enroll Hash │ │
│ │ Reboot to UEFI Menu │ │
│ │ Reboot System │ │
│ │ Exit │ │
│ └─────────────────────┘ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
└──────────────────────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Select Binary │
│ │
│ The Selected Binary will have its hash Enrolled │
│ This means it will Subsequently Boot with no prompting │
│ Remember to make sure it is a genuine binary before Enroling its hash │
│ │
│ │
│ ┌──────────────┐ │
│ │ ../ │ │
│ │ loader.efi │ │
│ │ HashTool.efi │ │
│ │ bootx64.efi │ │
│ └──────────────┘ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
└──────────────────────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Enroll this hash into MOK database? │
│ │
│ File: \loader.efi │
│ Hash: 8D1B74227CB2EE6B23B829595B761BAA34D171337F70D44ABF542D5318BDBA08 │
│ │
│ │
│ │
│ │
│ ┌─────┐ │
│ │ No │ │
│ │ Yes │ │
│ └─────┘ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
│ │
└──────────────────────────────────────────────────────────────────────────────┘