Cum se elimină „Secure Boot-uploader de încărcare în lanț (binar semnat de Microsoft)”?

În timpul actualizării software Ubuntu 20.04, am fost anunțat că „Încărcător de încărcare în lanț de pornire securizată (binar semnat de Microsoft)” este pe cale să fie instalat/actualizat. Nu vreau să permit executarea niciunui binare semnate Microsoft în timpul pornirii, există vreo modalitate de a-l elimina? Pentru a nu primi acest tip de sugestii de actualizare în viitor.

Singurul produs Microsoft pe care îl am este Teams și îmi doresc să fie cât mai mult posibil.

Puteți folosi „Metoda 2 - Dezactivați pornirea securizată în shim-signed” de https://wiki.ubuntu.com/UEFI/SecureBoot/DKMS Va trebui să instalați mokutil. Vă rugăm să postați feedback dacă încercați acest lucru.

Sau „Metoda 3 - Dezactivați pornirea securizată din BIOS”.

Rețineți că shim-semnat nu este „indezirabil”, vezi acest pentru o explicație a originii sale. Și dacă ar fi să folosești Secure Boot, ai prefera să folosești shim-semnat actualizat.

~ tl;dr: ~

Deși simpatizez în general cu sentimentul, sunt sigur că ați luat o abordare greșită aici. De fapt, te va pune mult mai departe de obiectivul tău final decât ești.

Dacă utilizați acel chainloader în siguranță, atunci mediul dvs. este deja la fel de „fără semnătură MS” pe cât poate fi. Aveți o semnătură MS falsificată care se pretează la orice lucru pe care îl încarcă în timpul pornirii, recursiv. Cu alte cuvinte, totul.

O altă soluție (temporară): dezactivați SecureBoot. În acest fel, nici acest bootloader și nici alte binare semnate MS. Funcționează doar dacă este încă o setare BIOS pe mașina dvs. Multe PC-uri și laptop-uri mai noi sunt echipate cu sistemul BIOS „SecureBoot Only” fără o opțiune moștenită.

~ Explicatie: 2 lucruri.. ~

lucru 1:

În primul rând, într-un mediu Linux, „Microsoft signed” nu înseamnă neapărat că este cu adevărat semnat de Microsoft. Înseamnă doar că cineva a făcut-o să pară așa cum este.Facem acest lucru pentru software-ul care va rula în timpul procesului de pornire, astfel încât să ruleze fără restricții într-un mediu în care SecureBoot (SB) este activat.

Asta este tot ce este de fapt SecureBoot. Nu asigură nimic. Pur și simplu elimină privilegiile, cum ar fi accesul la internet, pentru procesele care rulează cod în timpul pornirii, care nu este legat de o semnătură digitală MS.

Din păcate, software-ul care rulează la pornire este unul dintre cele mai critice software de pe computer. În primul rând, majoritatea firmware-ului este încărcat în acel moment. Acest lucru oferă acces la resurse fizice, printre altele.

Deci, dacă aveți SecureBoot activat și aveți internet, cel mai probabil rulați software semnat. Din câte știu eu, Ubuntu nu a făcut încă saltul și a început să falsifice modulele kernelului. Sau au?

Lucrul 2:

O modalitate de a ocoli regula „Numai codul semnat în timpul pornirii” a SB este să vă încărcați software-ul în lanț. Cu un încărcător cu lanț, încrederea revine la prima verigă a lanțului. Pentru tine acesta este încărcătorul de pornire.

Pentru un (mai mult), asta înseamnă că dacă îl ștergi, SecureBoot nu va funcționa.

De fapt, este greșit. Dacă îl ștergeți, pornire securizată voi munca, și asta e mult mai rău, imo. Acest punct este important, deoarece se află în centrul acestui răspuns.

Nu se poate să nu observăm ironia aici. Acest răspuns poate fi rezumat cel mai bine cu următoarea afirmație:

~ TAKEAWAY ~

În întrebarea ta, faci un punct de a afirma în mod explicit

Nu vreau să permit executarea niciunui binar semnat Microsoft în timpul pornirii...

Dacă acesta este obiectivul tău final și rulezi un mediu compatibil cu SecureBoot, bootloader-ul cu încărcare în lanț SecureBoot (semnat Canonic??) este singurul lucru care vă împiedică să aveți nevoie să schimbați fiecare program de pornire de pe sistemul dumneavoastră cu alternativa Microsoft.