Загрузка в режиме SecureBoot

Режим SecureBoot поддерживается только на установленной операционной системе в режиме UEFI. Перед установкой операционной системы в BIOS компьютера должны быть отключены режимы CSM и Legacy.

Для подготовки ОСнова в режиме загрузки SecureBoot выполнить следующие действия:

1. Подключить USB-накопитель

Требуется USB-накопитель с емкостью не менее 1ГБ. При выполнении скрипта будут удалены все данные на используемом USB-носителе.

2. Определить имя подключенного USB-накопителя, выполнив команду:

3. Скачать скрипт osnova-secureboot и дать право на исполнение командой:

4. Выполнить скрипт от имени администратора, с указанием имени подключенного USB-накопителя, например:

В результате выполнения команды в директории /root/secureboot/key будут размещены сгенерированные ключи. Подключенный USB-накопитель станет загрузочным и будет содержать ключи для загрузки в BIOS.

5. Перезагрузить компьютер и войти в BIOS

6. Произвести добавление сертификатов, выполнив следующие действия:

• В разделе Security выбрать пункт "Secure Boot"
• Установить значение параметра "Secure Boot" в [Enabled]
• Установить значение "Secure Boot Customization" в [custom]
• Выбрать пункт "Key Management"
• Установить значение параметра "Factory Key Provision" в [Disabled]
• Выбрать пункт "Authorized Signatures (db)", далее выбрать Append для добавления сертификата, далее выбрать "No" для использования внешнего носителя и выбрать файл db.auth

7. Сохранить изменения в BIOS и перезагрузить компьютер.

Также ключи можно добавить в BIOS при помощи созданной загрузочной флешки.

8. Проверка установленного режима "Secure Boot" осуществляется при помощи следующей команды:

При активном режиме команда вернет строку "SecureBoot enabled".