Configuring secure boot ubuntu что делать
Перейти к содержимому

Configuring secure boot ubuntu что делать

  • автор:

Опция BIOS Secure Boot

Опция Secure Boot — разрешает, запрещает возможность установки других ОС на данном устройстве.

Secure Boot — это версия протокола загрузки, его работа основана на «зашивании» в BIOS ключей для проверки сигнатур загрузочного кода. Secure Boot отказываться от выполнения любой загрузки при не совпадении подписей. данная технология защиты от взлома и нелицензионного использования ОС основана на модульности UEFI (Unified Extensible Firmware Interface ) BIOS. Модуль БИОС — UEFI — предназначена для инициализирования оборудование при включении системы и передачи управления загрузчику ОС.

Протокол безопасной загрузки Secure Boot работает через сертифицированные ключи Windows 8 (на текущее время только восьмерка), и заблокирует загрузку машины с любого другого загрузочного диска кроме диска с Windows 8.

Для того что бы установить любую другую ОС (даже W7), необходимо отключить данную опцию Secure Boot в БИОСе UEFI.

Опция Secure Boot BIOS может находиться на следующих вкладках :

  1. Boot (см фото ниже);
  2. Boot Security;
  3. System Configuration.

Если после отключения опции Secure Boot и включения Режима загрузки в режиме «Наследия- Совместимости — Legac — CSM» друга ОС все равно не становиться, можно попробовать следующий вариант:

  • Берем установочный диск с Win 8, следуемым указаниям установщика, доходим до этапа форматирования жесткого диска — форматируем диск и прерываем установку — перегружаемся и уже затем пытаемся поставить нужную вам операционку.

Но в теории такого происходить не должно, так как сертифицированные для Win 8 ПК по текущим требованиям обязательно имеют возможность отключения Secure Boot и возможность управления ключами.

Значения опции Secure Boot :

  • Disabled (или No) – отключить данную технологию;
  • Enabled (или Yes) – разрешить данную проверку подлинности загрузчика.

Опция также может иметь другие названия:

Примечание 1. Если у вас установлена ОС с включенной данной опцией — отключить опцию с данной ОС ее не получиться. Поэтому включать данную опцию не рекомендуется.

Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc.

Название данной опции у данного производителя в данной версии BIOS:

Secure Boot значение по умолчанию [Legacy]

Secure Boot flow control. Secure Boot is possible only if System runs in User Mode

Безопасное управление загрузкой. Защищенная загрузка возможна, только если система работает в режиме пользователя.

Secure Boot - отключение защищенной загрузки

Еще по настройке БИОС (БИОЗ) плат:

Опция Wait For ‘F1’ If Error отвечает за включение/отключение реж.

Опция USB Boot позволяет выполнить загрузку операционной системы .

Опция Try Other Boot Device разрешает выполнять поиск загрузочног.

Опция BIOS 3st Boot Priority Опция Third Boot Device определяет третье по приоритету ус.

Опция Speech POST Reporter позволяет использовать звуковое сопров.

Комментарии

0 #9 Андрей 20.05.2019 13:51
Цитирую Guest:
Бывает ли такое что в биусе нет секюри

Добрый день.
В большинстве старых ПК с датой выпуска железа до 2012-2014гг данная опция отсутствовала. Внедрение ее связана с EFI и функционально поддержано начиная с W8.

-1 #8 Guest 17.05.2019 19:09
Бывает ли такое что в биусе нет секюри
-1 #7 cheche 12.07.2016 00:46
Цитирую Андрей:
Цитирую cheche:

Надеюсь кто-то уже сталкивался и решение этой проблемы найдется.
Проблема заключается в том, что не могу отключить в биосе секьюр и запустить ОС с флешки. В моем биосе во вкладках: «Security» есть только функция «Secure boot menu» в ней же есть «Secure Boot Control» со значением отключен, во вкладке «Boot» 2 функции: «Boot Optoin #1» и «Boot Optoin #2», далее во вкладке «Advanced» три функции: «Start Easy Flash», «Network Stack Configuration» и «USB Configuration». Кто знает, как при таких параметрах все-таки можно было бы загрузить OS с флешки?

По логике вещей нужно поиграться «Start Easy Flash» и «USB Configuration» должно помочь, по другому не бывает.

Ну а вообще можно попробовать [url=
https://www.nastrojkabios.ru/informatsiya-o-bios/nastroit-vkliuchit-postavit-zagruzku-s-usb-fleshki-nositelya-v-bios.html]загрузиться с помощью «Быстрого меню» — удобную опцию одноразовой загрузки присутствует в современных системах.

Цитирую Андрей:
Цитирую cheche:

Надеюсь кто-то уже сталкивался и решение этой проблемы найдется.
Проблема заключается в том, что не могу отключить в биосе секьюр и запустить ОС с флешки. В моем биосе во вкладках: «Security» есть только функция «Secure boot menu» в ней же есть «Secure Boot Control» со значением отключен, во вкладке «Boot» 2 функции: «Boot Optoin #1» и «Boot Optoin #2», далее во вкладке «Advanced» три функции: «Start Easy Flash», «Network Stack Configuration» и «USB Configuration». Кто знает, как при таких параметрах все-таки можно было бы загрузить OS с флешки?

По логике вещей нужно поиграться «Start Easy Flash» и «USB Configuration» должно помочь, по другому не бывает.

SecureBoot инсталляции убунты.

Всем привет. Надо сделать секурный бут инсталляции убунты под tianocore uefi. на qemu. Ну несекурный бут там простой, а вот как делать секурный вообще не понятно. tianocore требует ключей и всяких там сертификатов, которые непонятно где брать. кто-то с этим вопросом сталкивался?

alysnix ★★★
09.08.21 12:45:35 MSK

Вам нужно установить на машину с включеным секюрбутом с заводскими ключами, или удалить майкрософтовские и прочие ключи и установить строго со своими?

Если первый вариант, то мейнстримные дистры искаропке подписаны ключами, которым доверяет большинство (все?) UEFI, и ничего особенного не нужно делать.

token_polyak ★★★★
( 09.08.21 12:50:01 MSK )
Ответ на: комментарий от token_polyak 09.08.21 12:50:01 MSK

там пускается tianocore (это опенсорсная uefi) на qemu, а у него вообще никаких ключей похоже нет. есть возможность их ввести ручками. но где эти ключи — непонятно. если дистр убунты(я его просто 20.04 с их сайта взял) чем-то и подписан…то вопрос — чем? и где это взять… видимо если эти ключи дать этой uefi, то она и загрузит.

то есть — какие ключи — непринципиально, главное загрузить инсталлятор абы как.

то есть, видимо, надо понять, какими ключами подписан инсталлятор, откуда-то их взять,и ввести их этой tianocore… и видимо проблема будет решена.

alysnix ★★★
( 09.08.21 12:54:50 MSK ) автор топика
Последнее исправление: alysnix 09.08.21 13:16:38 MSK (всего исправлений: 2)

Ответ на: комментарий от alysnix 09.08.21 12:54:50 MSK

Вам, походу, сюда. (насколько мне известно, где ключи майкрософта — там грузится и винда, и убунта, и прочие мейнстримные линуксы)

token_polyak ★★★★
( 09.08.21 13:48:20 MSK )
Ответ на: комментарий от token_polyak 09.08.21 13:48:20 MSK

так. очень похоже,… как это я сам не нашел… хотя перекопал кучу всего.. спасибо. читаю

alysnix ★★★
( 09.08.21 13:57:22 MSK ) автор топика
Ответ на: комментарий от alysnix 09.08.21 12:54:50 MSK

Без понятия, что такое tianocore. Но школота на арче написала краткий экскурс про secureboot https://wiki.archlinux.org/title/Secure_Boot#Implementing_Secure_Boot . В отличии от дядь на зарплате.

anonymous
( 09.08.21 14:00:11 MSK )
Ответ на: комментарий от anonymous 09.08.21 14:00:11 MSK

TianoCore это референсная имплементация EDK для разработки.

NAY_GIGGER
( 09.08.21 14:06:23 MSK )
Ответ на: комментарий от NAY_GIGGER 09.08.21 14:06:23 MSK

Если это умеет в secureboot, то вопрос только в том как подсунуть ему эти 4 ключа (точнее хватит и 3-х: PK, KEK и db) и подписывать свой загрузчик и/или ОС этим db.

anonymous
( 09.08.21 14:16:16 MSK )
Ответ на: комментарий от anonymous 09.08.21 14:16:16 MSK

Если это умеет в secureboot, то вопрос только в том как подсунуть ему эти 4 ключа (точнее хватит и 3-х: PK, KEK и db)

в самой морде тианокоры есть соотв пункты и проблем нет… если есть сами ключи… которые надо сгенерить и ими все что надо подписать. но это целая эпопея.

есть путь проще. когда билдится ovmf (это и есть сама uefi), там делается оказывается и файл памяти ключей(просто это не видно особенно их доков), как будто ты ввел их ручками, ну или их на фабрике записали. и если их подсунуть правильно вместе в самой ovmf в qemu, то вроде бы должно получиться что ты имеешь uefi, с уже зашитыми ключами. а поскольку линуховый дистрибутив уже ими подписан, то останется только перейти в секурный бут в этой уефи, и все должно пройти.

alysnix ★★★
( 09.08.21 14:43:33 MSK ) автор топика
Последнее исправление: alysnix 09.08.21 14:44:03 MSK (всего исправлений: 1)

Ответ на: комментарий от alysnix 09.08.21 14:43:33 MSK

Сперва придумают проблему, и потом героически его решают, что «решение» не решает созданную проблему.

Не использовать secure boot… с ключами от дяди…

Ну несекурный бут там просой

Воспользуйся этим советом. Умный человек писал.

anonymous
( 09.08.21 14:50:36 MSK )
Ответ на: комментарий от anonymous 09.08.21 14:00:11 MSK

Но школота на арче написала краткий экскурс про secureboot

это они написали всю тряхомудь, как нагенерить свои ключи, и как подписывать все что надо, с нуля. для некоей абстрактной, насколько я понял, uefi… ну в конкретике своего ядра и модулей. это не наш путь сейчас.

alysnix ★★★
( 09.08.21 14:51:16 MSK ) автор топика
Ответ на: комментарий от anonymous 09.08.21 14:50:36 MSK

Не использовать secure boot… с ключами от дяди…

мне лично он даром не нужен. сказали сделать это и написать типа мануальчик.

alysnix ★★★
( 09.08.21 14:52:28 MSK ) автор топика
Ответ на: комментарий от alysnix 09.08.21 14:52:28 MSK

Там должна быть одна строка «Secureboot не нужен». Кому нужен сами найдут и сделают как надо

anonymous
( 09.08.21 14:59:31 MSK )

cp /usr/share/edk2/ovmf/OVMF_VARS.secboot.fd . sudo qemu-system-x86_64 -machine q35,smm=on,accel=kvm -m 2048 -global driver=cfi.pflash01,property=secure,value=on -drive file=/usr/share/edk2/ovmf/OVMF_CODE.secboot.fd,if=pflash,format=raw,unit=0,readonly=on -drive file=OVMF_VARS.secboot.fd,if=pflash,format=raw,unit=1,readonly=off … 

ValdikSS ★★★★★
( 10.08.21 11:17:26 MSK )
Ответ на: комментарий от alysnix 09.08.21 14:52:28 MSK

Ах вот откуда все эти бесполезные мануальчики.

t184256 ★★★★★
( 10.08.21 11:24:14 MSK )
Ответ на: комментарий от ValdikSS 10.08.21 11:17:26 MSK

Валдик, с помощью твоей командищи, удалось запустить секурный OVMF из убунтовой(20.04) поставки… там правда файл ключей называется OVMF_VARS.ms.fd, насколько я понимаю.

Но вопрос, — в морде OVMF входишь в Secure Boot Configuration, выбираешь Secure Boot Mode — Custom…. И типа все? Current Secure Boot Mode State — написано disabled… и как понять, что они будет грузить мое ISO в секурной моде?

запуск вообще без OVMF_VARS… дает такую же картину. то есть визуальных отличий нет и непонятно, этот ..vars.fd, ovmf видит вообще?

alysnix ★★★
( 10.08.21 14:27:18 MSK ) автор топика
Последнее исправление: alysnix 10.08.21 14:28:13 MSK (всего исправлений: 1)

Ответ на: комментарий от alysnix 10.08.21 14:27:18 MSK

На Fedora OVMF_VARS.secboot.fd уже настроен, ничего дополнительно не нужно делать. Как в Ubuntu — не знаю, смотрите инструкции.

ValdikSS ★★★★★
( 10.08.21 22:55:38 MSK )
Ответ на: комментарий от ValdikSS 10.08.21 22:55:38 MSK

так. короче запустил после танцев с бубном это дело. но пока только для билда ovmf что идет из убунтовых(20.04) репозиториев. это билд идет с поддержкой секуребута и smm одновременно.

скрипт для запуска такой — run.sh (если кому понадобится)

opts="-machine q35,smm=on,accel=kvm -m 2048" #это просто так, не обязательно opts="$opts -smp 2" opts="$opts -global driver=cfi.pflash01,property=secure,value=on" #add two flashes opts="$opts -drive file=OVMF_CODE.secboot.fd,if=pflash,format=raw,unit=0,readonly=on" opts="$opts -drive file=OVMF_VARS.ms.fd,if=pflash,format=raw,unit=1,readonly=off" ##virtual fat disk - where to unstall Ubuntu opts="$opts -hda fat:rw:hda_" ##virtual cdrom with ubuntu installation #opts="$opts -boot d -cdrom ubuntu.iso" #opts="$opts -drive file=ubuntu.iso,index=1,media=cdrom" opts="$opts -drive file=ubuntu.iso,media=cdrom" ##disable net opts="$opts -net none" ## to avoid warning that something is not supperted opts="$opts -cpu host" ##would not run without it. if the build has smm support. ##at least for me opts="$opts -global ICH9-LPC.disable_s3=1" opts="$opts -boot menu=on" ############################ qemu-system-x86_64 $opts 

без этой ВАЖНОЙ опции QEMU не может нормально запустить стоковый ovmf, и просто ругается что графика не инициализирована. QEMU опять же стоковый.

opts="$opts -global ICH9-LPC.disable_s3=1" 

нормально пускает секурный бут… правда в самой ovmf вообще непонятно, идет секурный бут или обычный. но ориентируюсь на флаг — secure boot enabled в морде ovmf.

alysnix ★★★
( 12.08.21 19:13:19 MSK ) автор топика
Последнее исправление: alysnix 12.08.21 19:24:31 MSK (всего исправлений: 3)

Ответ на: комментарий от alysnix 12.08.21 19:13:19 MSK

проблема решена. оказывается OVMF_VARS.fd от одного билда(в частности стокового), вовсе не обязана подходить к билду другой версии в частности, билду ручками с последней версии в их гите.

то есть гипотеза — решить все по-простому, взяв VARS от стокового билда убунты(там уже все ключи прописаны) и скормить его CODE от последней версии в гите, оказалась ложной.

Как загрузить и установить Linux на компьютер с UEFI и Secure Boot

Оригинал: How to Boot and Install Linux on a UEFI PC With Secure Boot
Автор: Chris Hoffman
Дата публикации: декабрь 2013 г.
Перевод: Н.Ромоданов
Дата перевода: февраль 2014 г.

Новые компьютеры с системой Windows поставляются с прошивкой UEFI и с включенной загрузкой Secure Boot. Режим Secure Boot предотвращает загрузку операционных систем, если они не подписаны ключом, загруженным в UEFI; сразу «из коробки» можно загрузить только программное обеспечение, подписанное фирмой Microsoft.

Фирма Microsoft требует, чтобы производители компьютеров позволяли пользователям отключить режим Secure Boot, поэтому вы можете отключить режим Secure Boot или добавить свой собственный ключ для того, чтобы обойти это ограничение. Режим Secure Boot нельзя отключить на устройствах ARM под управлением Windows RT.

Как работает режим Secure Boot

Компьютеры, которые поставляются с системами Windows 8 и Windows 8.1 имеют прошивку UEFI вместо традиционного BIOS. По умолчанию прошивка UEFI машины будет загружать только загрузчики, подписанные ключом, встроенным в прошивку UEFI. Эта особенность известна как «Secure Boot» (безопасная загрузка) или «Trusted Boot» (проверенная загрузка). На традиционных компьютерах без этой функции безопасности, руткит может установить себя и стать загрузчиком boot loader. После этого BIOS компьютера будет загружать руткит в процессе загрузки, во время которой происходит загрузка самого загрузчика и загрузка Windows, скрывая себя от операционной системы и внедряя себя глубоко в систему.

Режим Secure Boot блокирует это — компьютер будет загружать только проверенное программное обеспечение, поэтому вредоносные начальные загрузчики не смогут заразить систему.

На компьютерах Intel x86 (а не на компьютерах ARM) у вас есть возможность управлять режимом Secure Boot. Вы можете выбрать вариант отключения этого режима или даже добавить ключ со своей собственной подписью. Организации могут использовать свои собственные ключи для того, чтобы обеспечить, чтобы могли загружаться только одобренные операционные системы Linux, например

Варианты установки Linux

У вас есть несколько вариантов установки Linux на компьютер с режимом Secure Boot:

  • Выберите дистрибутив, в котором поддерживается режим Secure Boot: современные версии Ubuntu, начиная с Ubuntu 12.04.2 LTS и 12.10, будет загружаться и нормально устанавливаться на большинстве ПК с включенным режимом Secure Boot. Это объясняется тем, что загрузчик EFI первоначального этапа загрузки в Ubuntu подписан фирмой Microsoft. Впрочем, один из разработчиков Ubuntu отмечает , что загрузчик в Ubuntu не подписан ключом, который необходим согласно процессу сертификации Microsoft, а просто одним из ключей, о которых говорят, что он «рекомендован» фирмой Microsoft. Это означает, что Ubuntu не обязана загружаться на всех компьютерах с UEFI. Для того, чтобы использовать Ubuntu на некоторых компьютерах, пользователям, возможно, придется отключить режим Secure Boot.
  • Отключение режима Secure Boot: Режим Secure Boot можно отключить, что позволит позволить превратить преимущество безопасной загрузки в возможность иметь что-нибудь свое для загрузки компьютера точно также, как это делается на старых компьютерах с традиционным BIOS. Это также потребуется сделать, если вы хотите установить старую версию Windows, которая не разрабатывалась с врозможностью использовать режим Secure Boot, например, Windows 7.
  • Добавить в прошивку UEFI подписанный ключ: Некоторые дистрибутивы Linux позволяют подписывать свои загрузчики с помощью их собственного ключа, который вы можете добавить в свою прошивку UEFI. На данный момент, это, кажется, не является обычной практикой.

Вы должны проверить, какой из этих вариантов рекомендуется использовать для вашего дистрибутива Linux. Если вам нужно загрузить старый дистрибутив Linux, в котором нет никакой информации об этом, вы нужно будет просто отключить режим Secure Boot.

На большинстве новых компьютеров у вас должна иметься возможность устанавливать без каких-либо проблем текущие версии Ubuntu — либо релиз LTS, либо последний релиз. Инструкции о том, как загружаться со сменного носителя, смотрите в последнем разделе.

Как отключить режим Secure Boot

Вы можете управлять режимом Secure Boot из вашего экрана настройки прошивки UEFI — UEFI Firmware Settings. Для доступа к этому экрану, вам нужно будет в Windows 8 получить доступ к меню параметров загрузки. Чтобы сделать это, откройте страницу Settings (Настройки) — чтобы попасть на эту страницу, нажмите клавишу Windows Key + I, затем нажмите кнопку питания, а затем нажмите и удерживайте клавишу Shift и одновременно щелкните мышкой по кнопке Restart (Перезагрузка).

Ваш компьютер будет перезагружен в экран расширенных параметров загрузки. Выберите вариант Troubleshoot (Диагностика), выберите вариант Advanced options (Дополнительные параметры), а затем выберите пункт UEFI Settings (Настройки UEFI). На некоторых компьютерах с системой Windows 8 вы можете не увидеть пункт UEFI Settings, даже если эти компьютеры поставляются с UEFI — в этом случае для того, чтобы получить информацию о том, как добраться до его экрана настроек UEFI, обратитесь к документации разработчика.

Вы попадете на экран настроек UEFI, где вы можете выбрать отключение режима Secure Boot или добавление своего собственного ключа.

Загрузка со сменного носителя

Вы можете загрузиться со сменного носителя при помощи точно такого же доступа к меню параметров загрузки — удерживайте нажатой клавишу Shift и щелкните мышкой по кнопке Restart (Перезагрузка). Подключите загрузочное устройство, выберите вариант Use a device (Использовать устройство), и выберите устройство, с которого необходимо загрузиться.

После загрузки со сменного носителя вы можете установить Linux точно также, как и обычно, или просто можете использовать живую среду сменного носителя (устройство live), не устанавливая его.

Имейте в виду, что режим Secure Boot является полезной функцией безопасности. Вы должны оставить эту возможность включенной в случае, если вам не требуется запускать операционные системы, которые не будут загружаться с включенным режимом Secure Boot.

Configuring Secure Boot on Ubuntu 22 for Enhanced Security

Secure Boot is a security standard developed to ensure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). When it comes to Ubuntu, enabling Secure Boot adds a layer of protection during the system startup process, mitigating the risk of boot-time malware infections.

Prerequisites for Configuring Secure Boot

  • A system with UEFI firmware.
  • Ubuntu 22.04 LTS or later installed in UEFI mode.
  • Access to the system’s UEFI firmware settings.

Step-by-Step Configuration

Configuring Secure Boot on Ubuntu involves several steps, from checking the current status to enrolling keys. Here’s how you can secure your boot process:

Check Secure Boot Status

Before making any changes, verify if Secure Boot is already enabled:

mokutil --sb-state

If it’s disabled, you’ll need to enable it from your UEFI firmware settings, which varies by manufacturer.

Enroll MOK (Machine Owner Key)

Ubuntu uses a Machine Owner Key to ensure that only trusted software can run at boot time. To enroll a new MOK, follow these steps:

sudo apt-get update sudo apt-get install mokutil sudo mokutil --generate-key-pair sudo mokutil --import MOK.der

Restart your computer and follow the prompts to enroll the MOK during boot.

Signing Kernel Modules

With Secure Boot enabled, all kernel modules need to be signed. You can sign your modules using the following command:

sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./MOK.priv ./MOK.der /path/to/module

Verify the Boot Process

Once Secure Boot is enabled and configured, verify the boot process to ensure everything is set up correctly:

dmesg | grep "Secure Boot"

This command checks the system’s boot messages for any Secure Boot-related entries.

Conclusion

By enabling Secure Boot on your Ubuntu 22 system, you significantly enhance the security posture of your machine. It’s a critical step in protecting against low-level threats and ensuring that your boot process is as secure as possible.

Configuring Secure Boot can be complex and may vary depending on the specific hardware and firmware in use. If you’re looking to streamline your security processes or need personalized assistance, consider the option to hire a remote DevOps engineer who can provide expert guidance and support.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *