不久前,为了安装第三方驱动程序,我不得不禁用 UEFI 中的安全启动。
现在不再需要这个第三方驱动程序(由于内核更新),我已将其卸载。
删除了未签名的驱动程序后,我认为现在重新启用安全启动可能是个好主意。是吗?或者恶意软件在此期间会造成损害,例如添加新的安全启动密钥,以至于安全启动在被禁用一次后就不再“安全”了?
答案1
是的,您可以安全地重新启用安全启动。不太可能有东西被损坏。然后在 BIOS | UEFI 中将
默认引导加载程序从 更改为grubx64.efi。 否则,Ubuntu 会尝试使用未签名的引导加载程序进行引导 - 这当然不起作用。 或者,您可以在使用内置更改安全启动设置之前执行此操作: shimx64.efiefibootmgr
要列出当前活动的引导加载程序文件 - 执行此命令:sudo efibootmgr -v
通过运行更改引导顺序sudo efibootmgr -o XXXX,YYYY (X,Y = entry number)
如果shimx64.efi没有列出,您可以通过执行(X = 磁盘 | Y = EFI 分区)来添加它:
sudo efibootmgr -c -w -d /dev/sdXY -p 1 -L "ubuntu" -l '\EFI\ubuntu\shimx64.efi
答案2
我不会这么做。重新启用安全启动不会以任何可衡量的方式改善您的 Ubuntu 安全性(尽管如果它让您感觉更好,我认为这样做没有任何害处)。
如果你确实想重新启用它,你应该订阅这个错误并等到错误被修复,因为在此之前从 Ubuntu 的角度来看你什么也做不了。
编辑:上述错误已于 2017 年 3 月 30 日 17:45:23 在 grub2 - 2.02~beta3-4ubuntu2 软件包中报告修复
并且也在包裹里grub2-签名 - 1.80截至 2017 年 4 月 4 日 10:28:34
deb 文件(为 Zesty 创建)可用这里。由于你正在运行 Xenial,等待专门为你的版本开发的软件包可能是最安全的方式(或者至少创建一个当前备份) 以避免在 Xenial 系统上安装为 Zesty 设计的 .deb 所带来的任何意外后果。