我可以在 GRUB 中将其配置为验证要链接加载的 EFI 文件是否已签名(使用安全启动数据库),如果未签名则拒绝启动?
我必须禁用 GRUB 的安全启动才能在 Android 和 Windows 之间进行双启动。我不想失去 Windows 系统的安全性。
我知道 GRUB 可以检查 Linux 内核的签名,但是 EFI 引导加载程序呢?是否可以?如何?
答案1
这个问题自己解决了:
如果 GRUB 尝试链接加载安全启动不接受的文件(如果激活了安全启动),它将收到“拒绝访问”错误。
在链式加载之前验证 EFI 文件的完整性