Puppy Linux 安全启动密钥

Question

在 FossaPup64 9.5 上测试。一切都坏了。

Puppy Linux 使用旧的 Debian垫片+ 他们自己的GRUB。 Debian 的 shim 允许运行任何非 Debian .efi 可执行文件，但为此应在启动时使用名为 MokManager 的特殊对话程序添加自定义签名密钥。

然而，自 2019 年以来，GRUB 中存在多个漏洞，使用 Puppy 的文件和 MokManager 签名密钥已被撤销，这就是为什么 Puppy 的 GRUB 无法启动，因为 MokManager 无法启动导入密钥。

如果我们从撤销列表中删除密钥并使用 MokManager 添加所需的密钥，我们将进入 GRUB，但是 GRUB 无法加载操作系统，并显示“Bootloader 尚未验证加载的映像。系统受到损害。停止。”信息。内核似乎是用另一个密钥签名的（或者根本没有签名）。

您有两个选择：

生成您自己的签名密钥，亲自对 Puppy Linux 的引导加载程序和内核进行签名。每次更新引导加载程序或内核时都必须执行此操作。您可能还需要对所有模块进行签名，但这取决于内核的编译方式。
要求 Puppy 开发人员修复他们的安全启动。
简单的解决方案：安全启动盘中的超级 UEFI。

Answer 1

在 FossaPup64 9.5 上测试。一切都坏了。

Puppy Linux 使用旧的 Debian垫片+ 他们自己的GRUB。 Debian 的 shim 允许运行任何非 Debian .efi 可执行文件，但为此应在启动时使用名为 MokManager 的特殊对话程序添加自定义签名密钥。

然而，自 2019 年以来，GRUB 中存在多个漏洞，使用 Puppy 的文件和 MokManager 签名密钥已被撤销，这就是为什么 Puppy 的 GRUB 无法启动，因为 MokManager 无法启动导入密钥。

如果我们从撤销列表中删除密钥并使用 MokManager 添加所需的密钥，我们将进入 GRUB，但是 GRUB 无法加载操作系统，并显示“Bootloader 尚未验证加载的映像。系统受到损害。停止。”信息。内核似乎是用另一个密钥签名的（或者根本没有签名）。

您有两个选择：

生成您自己的签名密钥，亲自对 Puppy Linux 的引导加载程序和内核进行签名。每次更新引导加载程序或内核时都必须执行此操作。您可能还需要对所有模块进行签名，但这取决于内核的编译方式。
要求 Puppy 开发人员修复他们的安全启动。
简单的解决方案：安全启动盘中的超级 UEFI。

相关内容