在 Debian 中使用 Shim

我听说，Debian 不支持安全启动。如果 Debian 8 对此做出改变，事情应该会大大简化。但是，如果 Debian 不支持安全启动，我建议您先从有关 Shim 的问题中退一步，然后提出有关安全启动的一般问题。退一步后，大致有三种解决方案：

• 您可以使用 Linux 基金会的预加载器作为您的安全启动解决方案。此工具在概念上与 Shim 类似，但它会记录您批准的二进制文件的哈希值，这使得它比 Shim 更容易设置，因为 Shim 需要对您的启动加载程序以及可能所有的内核进行加密签名。
• 您可以使用 Shim 作为安全启动解决方案。Shim 旨在根据加密签名验证二进制文件，因此您必须对 GRUB 副本（或您使用的任何启动加载程序）进行签名，并且可能还要对 Linux 内核进行签名。这个过程有点繁琐，无法简洁地描述。
• 您可以安装自己的安全启动密钥，然后使用它们来签名 GRUB（或您使用的任何启动加载程序）以及您的内核。签名过程与使用 Shim 时相同，但您可以完全从该过程中删除 Shim。问题是设置密钥比安装 Shim 更困难；但您也可以消除不需要的密钥（例如，如果您不运行 Windows，则是来自 Microsoft 的密钥）。

总体而言，使用 PreLoader 可能是最适合您情况的最简单的解决方案 —— 尽管如果 Debian 对其 GRUB 和内核进行了签名，那么一旦您找到 Debian 公钥文件，使用 Shim 就会变得同样简单，甚至更容易。

显然，这个答案并不完整。一旦你决定使用哪种方法，你将需要更多信息。咨询我的主要安全启动页面有关使用 PreLoader 和 Shim 的说明，以及我的控制安全启动有关安装和使用您自己的密钥的信息的页面。

还有一条评论：如果这是单启动安装，使用安全启动将提供最小的好处，特别是如果您使用的 GRUB 版本不支持安全启动。安全启动的主要好处是在系统可能被恶意软件替换其引导加载程序的情况下。从历史上看，Windows 一直是此类恶意软件的目标，既是最终受到攻击的平台，也是安装恶意软件所使用的操作系统。当然，这并不是说 Linux 永远不会成为目标；但如果是，并且如果您使用的引导加载程序不需要对内核进行签名，那么您就获得了非常启用安全启动对安全性几乎没有什么好处，因为攻击者只需要替换你的库存内核就可以控制你的系统。