安装 Linux Mint 20.1 时第一次重新启动后出现“注册 MOK”对话框 - 它的用途是什么（安全启动）？

Question 1

1. 第一次安装 Mint 并重新启动时出现的初始“继续启动”或“注册 MOK”对话框是什么？

这是shimx64.efi当它检测到操作系统可访问的 UEFI NVRAM 变量中有一个新的 MOK 等待安装时生成的。

2. 如果我注册了 MOK 密钥，Virtualbox 是否会在不要求我执行任何操作的情况下进行安装？

最有可能的是，是的。

2.5. VirtualBox 注册自己的密钥时到底做了什么？

它可能只会update-secureboot-policy --enroll-key在可用时触发。

3. 我已经安装并配置了系统并且不想再次重新安装，如何立即“注册MOK”？

sudo apt install shim-signed
sudo update-secureboot-policy --enroll-key

4. 现在我不敢安装专有的NVidia驱动程序，因为我没有注册MOK并且担心它不起作用。

从技术上讲这不是问题，但不用担心。如果您通过 Ubuntu/Mint 的第 3 方驱动程序管理工具安装 NVidia 驱动程序，它可能只会为您执行上面 3.) 中列出的步骤（如果您尚未执行此操作）。

如果您使用直接从NVidia下载的安装包，请先安装dkms第三方模块的管理工具，然后运行NVidia驱动安装程序：

sudo apt install dkms

sudo ./NVIDIA-Linux-x86_64-<version number>.run --dkms \
    --module-signing-secret-key=/var/lib/shim-signed/mok/MOK.priv \
    --module-signing-public-key=/var/lib/shim-signed/mok/MOK.der

dkms自动重建第 3 方内核模块（例如 NVidia 驱动程序），因此每当您收到内核安全更新时都无需手动执行此操作。

5. 一般来说，第一次重新启动后“注册 MOK”会做什么？

如果您在运行后没有在下次重新启动时立即执行“注册 MOK” update-secureboot-policy --enroll-key，则注册过程将暂停，等待您执行以下任一操作：完成它通过在后续启动时选择“注册 MOK”，或者取消它在sudo mokutil --revoke-importLinux 内。

完成 MOK 注册程序后，您应该不会再看到该提示，除非您丢失旧的 MOK 并注册新的 MOK。

5.1.这是否意味着它将一些 Ubuntu 密钥放入 BIOS 中？

不，注册过程会生成一个唯一的密钥你的系统并将其放置在/var/lib/shim-signed/mok/只有 root 可以访问的位置，以便内核模块安装过程可以使用它，并将密钥的公共部分的副本注册到 UEFI NVRAM 变量，以便在shimx64.efi引导时可以使用它。

5.2.这是否意味着如果我这样做，那么我以后安装的所有专有内核模块都将顺利进行，而无需注册自己的 MOK？

就是这个想法，是的。不幸的是，并非所有第三方内核模块源代码包都尚未更新以无缝检测 MOK 的存在并在必要时自动使用它。

Answer

1. 第一次安装 Mint 并重新启动时出现的初始“继续启动”或“注册 MOK”对话框是什么？

这是shimx64.efi当它检测到操作系统可访问的 UEFI NVRAM 变量中有一个新的 MOK 等待安装时生成的。

2. 如果我注册了 MOK 密钥，Virtualbox 是否会在不要求我执行任何操作的情况下进行安装？

最有可能的是，是的。

2.5. VirtualBox 注册自己的密钥时到底做了什么？

它可能只会update-secureboot-policy --enroll-key在可用时触发。

3. 我已经安装并配置了系统并且不想再次重新安装，如何立即“注册MOK”？

sudo apt install shim-signed
sudo update-secureboot-policy --enroll-key

4. 现在我不敢安装专有的NVidia驱动程序，因为我没有注册MOK并且担心它不起作用。

从技术上讲这不是问题，但不用担心。如果您通过 Ubuntu/Mint 的第 3 方驱动程序管理工具安装 NVidia 驱动程序，它可能只会为您执行上面 3.) 中列出的步骤（如果您尚未执行此操作）。

如果您使用直接从NVidia下载的安装包，请先安装dkms第三方模块的管理工具，然后运行NVidia驱动安装程序：

sudo apt install dkms

sudo ./NVIDIA-Linux-x86_64-<version number>.run --dkms \
    --module-signing-secret-key=/var/lib/shim-signed/mok/MOK.priv \
    --module-signing-public-key=/var/lib/shim-signed/mok/MOK.der

dkms自动重建第 3 方内核模块（例如 NVidia 驱动程序），因此每当您收到内核安全更新时都无需手动执行此操作。

5. 一般来说，第一次重新启动后“注册 MOK”会做什么？

如果您在运行后没有在下次重新启动时立即执行“注册 MOK” update-secureboot-policy --enroll-key，则注册过程将暂停，等待您执行以下任一操作：完成它通过在后续启动时选择“注册 MOK”，或者取消它在sudo mokutil --revoke-importLinux 内。

完成 MOK 注册程序后，您应该不会再看到该提示，除非您丢失旧的 MOK 并注册新的 MOK。

5.1.这是否意味着它将一些 Ubuntu 密钥放入 BIOS 中？

不，注册过程会生成一个唯一的密钥你的系统并将其放置在/var/lib/shim-signed/mok/只有 root 可以访问的位置，以便内核模块安装过程可以使用它，并将密钥的公共部分的副本注册到 UEFI NVRAM 变量，以便在shimx64.efi引导时可以使用它。

5.2.这是否意味着如果我这样做，那么我以后安装的所有专有内核模块都将顺利进行，而无需注册自己的 MOK？

就是这个想法，是的。不幸的是，并非所有第三方内核模块源代码包都尚未更新以无缝检测 MOK 的存在并在必要时自动使用它。

Question 2

在我的安装中没有这样的命令 update-secureboot-policy

在我的 Ubuntu 系统上，该命令位于shim-signed软件包中。

Answer

在我的安装中没有这样的命令 update-secureboot-policy

在我的 Ubuntu 系统上，该命令位于shim-signed软件包中。

安装 Linux Mint 20.1 时第一次重新启动后出现“注册 MOK”对话框 - 它的用途是什么（安全启动）？

答案1

1. 第一次安装 Mint 并重新启动时出现的初始“继续启动”或“注册 MOK”对话框是什么？

2. 如果我注册了 MOK 密钥，Virtualbox 是否会在不要求我执行任何操作的情况下进行安装？

2.5. VirtualBox 注册自己的密钥时到底做了什么？

3. 我已经安装并配置了系统并且不想再次重新安装，如何立即“注册MOK”？

4. 现在我不敢安装专有的NVidia驱动程序，因为我没有注册MOK并且担心它不起作用。

5. 一般来说，第一次重新启动后“注册 MOK”会做什么？

5.1.这是否意味着它将一些 Ubuntu 密钥放入 BIOS 中？

5.2.这是否意味着如果我这样做，那么我以后安装的所有专有内核模块都将顺利进行，而无需注册自己的 MOK？

答案2

相关内容