安全启动开启时“以非安全模式启动”

Question 1

我知道戴尔在他们的 Linux 系统中附带了一组禁用验证的变量： https://bugzilla.redhat.com/show_bug.cgi?id=1544794

在这种情况下，解决方案是启用验证。也许这就是您所看到的？尝试运行：

mokutil --enable-validation

Answer

我知道戴尔在他们的 Linux 系统中附带了一组禁用验证的变量： https://bugzilla.redhat.com/show_bug.cgi?id=1544794

在这种情况下，解决方案是启用验证。也许这就是您所看到的？尝试运行：

mokutil --enable-validation

Question 2

当系统配置为禁用安全启动时，Shim 通常会显示该消息。我似乎记得至少有一个系统错误地显示了该消息，但我不记得细节了。如果发生这种情况，您将无法摆脱该消息，因此您应该学会忍受它 —— 至少，除非并直到发布可修复该问题的更新的 Shim 二进制文件。

不过，你可能需要检查 Ubuntu 中的安全启动模式。你可以按如下方式进行操作：

$ hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c
0000000 0016 0000 0001                         
0000005

输出的第一行显示 EFI 变量的值SecureBoot。在本例中，它以结尾0001，表示安全启动处于活动状态。如果它显示0000相反的内容，则表示它处于非活动状态。如果出现错误No such file or directory，则表示系统根本不支持安全启动（或或许它被支持但从未处于活动状态），这实际上与它处于非活动状态相同。

如果固件本身的 UI 显示安全启动处于活动状态，但在 Ubuntu 中却处于非活动状态，则表明某个地方存在问题。我知道某些较新版本的 Shim 有一种方法可以有效地绕过安全启动（如果以某种方式配置），所以这可能是正在发生的事情；但我需要深入挖掘才能弄清楚该功能是什么，或者如何检查或重新配置它。

Answer

当系统配置为禁用安全启动时，Shim 通常会显示该消息。我似乎记得至少有一个系统错误地显示了该消息，但我不记得细节了。如果发生这种情况，您将无法摆脱该消息，因此您应该学会忍受它 —— 至少，除非并直到发布可修复该问题的更新的 Shim 二进制文件。

不过，你可能需要检查 Ubuntu 中的安全启动模式。你可以按如下方式进行操作：

$ hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c
0000000 0016 0000 0001                         
0000005

输出的第一行显示 EFI 变量的值SecureBoot。在本例中，它以结尾0001，表示安全启动处于活动状态。如果它显示0000相反的内容，则表示它处于非活动状态。如果出现错误No such file or directory，则表示系统根本不支持安全启动（或或许它被支持但从未处于活动状态），这实际上与它处于非活动状态相同。

如果固件本身的 UI 显示安全启动处于活动状态，但在 Ubuntu 中却处于非活动状态，则表明某个地方存在问题。我知道某些较新版本的 Shim 有一种方法可以有效地绕过安全启动（如果以某种方式配置），所以这可能是正在发生的事情；但我需要深入挖掘才能弄清楚该功能是什么，或者如何检查或重新配置它。

Question 3

您可以通过以下方式检查安全启动的状态 -

$ mokutil --sb-state

对于你来说，输出可能是 -

SecureBoot enabled
SecureBoot validation is disabled in shim

您需要使用以下命令重新启用安全启动验证，最终将不会显示“以非安全模式启动”的文字。

$ sudo mokutil --enable-validation

这里命令会要求你输入一个密码，这个密码并不是你的登录密码，只是一个临时密码，你需要设置一个密码，后面的步骤会要求你输入这个密码。

现在，重新启动并按照显示的说明进行操作执行 MOK 管理蓝屏。
选择更改安全启动状态。

来源 -
https://wiki.debian.org/SecureBoot
https://wiki.ubuntu.com/UEFI/SecureBoot

Answer