关于安全启动的签名测试不算是好消息

求道者 · 发表于 2016-11-28 00:41:37

总之按照e文教程来了一发efi签名
签上了给主板导入根证书
然后运行xorboot
OK 通过没有被安全启动阻拦……
然后问题来了
我寻思着启动grub2
然后就被安全启动拦下来了
这签名验证是链式传导的呀

这么说没法用Ubuntu的grub2启动其他没签名的系统咯？

那怎么听说可以用signed-shim运行没签名的系统？

窄口牛 · 发表于 2016-11-28 05:39:19

是的，所有使用的efi文件都必须签名的，一个不能例外。问题是你明知道那条路红灯对多，你还不走灯少的。

wintoflash · 发表于 2016-11-28 07:16:34

启动linux不需要给内核签名
只有启动其他efi文件才需要签名

求道者 · 发表于 2016-11-28 08:02:14

本帖最后由求道者于 2016-11-28 08:06 编辑

窄口牛发表于 2016-11-28 05:39
是的，所有使用的efi文件都必须签名的，一个不能例外。问题是你明知道那条路红灯对多，你还不走灯少的。

我是今天才找到怎么给efi签名的啊……
在这之前我一直都以为只要bootx64.efi签了名就OK了……
而且xorboot没法直接启动linux镜像

求道者 · 发表于 2016-11-28 08:04:29

wintoflash 发表于 2016-11-28 07:16
启动linux不需要给内核签名
只有启动其他efi文件才需要签名

限制还真多啊……
偏偏我还有几个efi工具固件...

wintoflash · 发表于 2016-11-28 10:00:00

求道者发表于 2016-11-28 08:04
限制还真多啊……
偏偏我还有几个efi工具固件...

eif工具应用类的基本上都可以通过安全启动，例如memtest86
但是konboot不能通过安全启动

窄口牛 · 发表于 2016-11-28 10:39:09

能否分享你的efi工具？

求道者 · 发表于 2016-11-28 12:15:38

窄口牛发表于 2016-11-28 10:39
能否分享你的efi工具？

memtest86 konboot
其他的好像还真没

rkr077 · 发表于 2016-12-21 13:06:36

目前支持UEFI的有Ubuntu Fedora CentOS OpenSUSE SUSE RHEL。Linux内核和模块需要签名。实际上就是给微软99美元，让微软帮你签名。

wintoflash · 发表于 2017-1-23 20:52:55

本帖最后由 wintoflash 于 2017-1-23 20:54 编辑

楼主是用sbsigntool给xorboot签的名吗？我给xorboot签过名后启动xorboot会卡死,显示“XORBOOT UEFI X64 0.2.3 Copyright ...”，而签过名的grub2可以正常加载。

		自动登录	找回密码
密码			注册

[讨论] 关于安全启动的签名测试不算是好消息

点评

点评

点评

点评

[讨论] 关于安全启动的签名测试 不算是好消息

点评

点评

点评

点评

[讨论] 关于安全启动的签名测试不算是好消息