求道者 发表于 2016-11-28 00:41:37

关于安全启动的签名测试 不算是好消息

总之按照e文教程来了一发efi签名
签上了 给主板导入根证书
然后运行xorboot
OK 通过 没有被安全启动阻拦……
然后问题来了
我寻思着启动grub2
然后就被安全启动拦下来了
这签名验证是链式传导的呀

这么说没法用Ubuntu的grub2启动其他没签名的系统咯?

那怎么听说可以用signed-shim运行没签名的系统?

窄口牛 发表于 2016-11-28 05:39:19

是的,所有使用的efi文件都必须签名的,一个不能例外。问题是你明知道那条路红灯对多,你还不走灯少的。

wintoflash 发表于 2016-11-28 07:16:34

启动linux不需要给内核签名
只有启动其他efi文件才需要签名

求道者 发表于 2016-11-28 08:02:14

本帖最后由 求道者 于 2016-11-28 08:06 编辑

窄口牛 发表于 2016-11-28 05:39
是的,所有使用的efi文件都必须签名的,一个不能例外。问题是你明知道那条路红灯对多,你还不走灯少的。

我是今天才找到怎么给efi签名的啊……
在这之前我一直都以为只要bootx64.efi签了名就OK了……
而且xorboot没法直接启动linux镜像

求道者 发表于 2016-11-28 08:04:29

wintoflash 发表于 2016-11-28 07:16
启动linux不需要给内核签名
只有启动其他efi文件才需要签名

限制还真多啊……
偏偏我还有几个efi工具固件...

wintoflash 发表于 2016-11-28 10:00:00

求道者 发表于 2016-11-28 08:04
限制还真多啊……
偏偏我还有几个efi工具固件...

eif工具应用类的基本上都可以通过安全启动,例如memtest86
但是konboot不能通过安全启动

窄口牛 发表于 2016-11-28 10:39:09

能否分享你的efi工具?

求道者 发表于 2016-11-28 12:15:38

窄口牛 发表于 2016-11-28 10:39
能否分享你的efi工具?

memtest86 konboot
其他的好像还真没

rkr077 发表于 2016-12-21 13:06:36

目前支持UEFI的有Ubuntu Fedora CentOS OpenSUSE SUSE RHEL。Linux内核和模块需要签名。实际上就是给微软99美元,让微软帮你签名。

wintoflash 发表于 2017-1-23 20:52:55

本帖最后由 wintoflash 于 2017-1-23 20:54 编辑

楼主是用sbsigntool给xorboot签的名吗?我给xorboot签过名后启动xorboot会卡死,显示“XORBOOT UEFI X64 0.2.3 Copyright ...”,而签过名的grub2可以正常加载。
页: [1]
查看完整版本: 关于安全启动的签名测试 不算是好消息