当无法禁用安全启动时如何安装 Linux?

当无法禁用安全启动时如何安装 Linux?

我尝试使用 Ventoy 和 (KDE) ISO Image Writer 在 Fedora 上使用 USB 棒安装 Linux Mint。 Mint 最新版本 21.3。两次我都收到“安全启动冲突。检测到无效签名。检查设置中的安全启动策略。”

我无法在 BIOS 中禁用安全启动,因为它呈灰色显示。笔记本电脑是 Lenovo Thinkpad L14(2023 型号)。

我没有找到在 BIOS 中禁用安全启动的有效方法,也没有找到创建具有安全启动功能的 USB 记忆棒的方法。

答案1

安全启动违规。检测到无效签名。检查设置中的安全启动策略。

表示您的引导加载程序已签名,但未使用您的机器接受的密钥进行签名。这正是安全启动的目的:使未经机器所有者“确定”的操作系统无法执行。

通常,好的事情包括微软签名的引导加载程序之类的事情——毕竟,对于笔记本电脑来说,Windows 是“默认”操作系统,这正是用户希望他们的计算机不被恶意软件劫持的。因此,主板供应商通常将微软的公钥包含在其可信平台模块(存储用于验证软件的数据的芯片)中,并允许启动微软签名的引导加载程序。

这就是主要 Linux 发行版所做的:获得一个 Microsoft 帐户,要求 Microsoft 签署他们的引导加载程序,从而使它们可以在大多数主板上引导。

作为主板所有者(即您!),您可以从正在运行的操作系统(Linux、Windows、Mac OS...)执行诸如禁用密钥、添加新密钥、放松检查之类的操作 - 也就是说,直到您离开并锁定您的机器。
这通常是(故意的)一条单行道:例如,如果您给某人旅行一台装有机密数据的笔记本电脑,那么您不希望在该人被关押期间,某人就一直独自使用笔记本电脑在某个地方能够禁用安全启动,启动Linux,在可信平台模块中安装自定义密钥,添加由新密钥签名的启动加载程序,其中包含一个密钥记录器来获取硬盘驱动器加密的解密密钥, VPN 或其他任何内容,然后重新启用安全启动。再次强调,安全启动是实际上是个好主意这可以保护硬件的合法所有者——如果之前没有从他手中夺走控制权的话。

事实上,您无法在主板设置中禁用安全启动(BIOS 中没有任何相关内容……)可能表明您的系统已被锁定,使用的自定义密钥仅允许使用由公司 IT 部门签名的 Windows 版本等,以及安全启动不能无需该 IT 部门的帮助即可禁用,因为他们拥有所有加密密钥。

因此,除非您的引导加载程序实际上未签名并且错误消息是错误的(通常情况下并非如此),否则我认为您根本就不是您拥有的笔记本电脑中的“老板”:(。

然而,Mint 是最后一个真正支持安全启动的主要发行版(它们实际上比 Redhat、Fedora、SuSe 和 Ubuntu 晚了十年,比 debian 晚了 5 年……)。也许他们还没有把所有事情都安排好,事情不知何故被破坏了?老实说,我只是去尝试 Fedora 安装程序 USB 映像;如果这有效,你至少知道这并非不可能!

相关内容