Загрузка в режиме SecureBoot
В системе должны быть настроены обновления согласно документации и подключены средства разработки
Режим SecureBoot поддерживается только на установленной операционной системе в режиме UEFI. Перед установкой операционной системы в BIOS компьютера должны быть отключены режимы CSM и Legacy.
Для подготовки ОСнова в режиме загрузки SecureBoot выполнить следующие действия:
- Подключить USB-накопитель;
Требуется USB-накопитель с емкостью не менее 1ГБ. При выполнении скрипта будут удалены все данные на используемом USB-носителе.
- Определить имя подключенного USB-накопителя, выполнив команду:
- Скачать скрипт и дать право на исполнение командой:
- Выполнить скрипт от имени администратора, с указанием имени подключенного USB-накопителя, например:
В результате выполнения команды в директории /root/secureboot/key будут размещены сгенерированные ключи. Подключенный USB-накопитель станет загрузочным и будет содержать ключи для загрузки в BIOS.
- Перезагрузить компьютер и войти в BIOS;
- Произвести добавление сертификатов, выполнив следующие действия:
- в разделе Security выбрать пункт "Secure Boot";
- установить значение параметра "Secure Boot" в [Enabled];
- установить значение "Secure Boot Customization" в [custom];
- выбрать пункт "Key Management";
- установить значение параметра "Factory Key Provision" в [Disabled];
- выбрать пункт "Authorized Signatures (db)", далее выбрать Append для добавления сертификата, далее выбрать "No" для использования внешнего носителя и директории keys выбрать файл db.auth;
- выбрать пункт "Authenticated Variable" и подтвердить обновление сертификатов.
- Сохранить изменения в BIOS и перезагрузить компьютер;
Также ключи можно добавить в BIOS при помощи созданной загрузочной флешки.
- Проверка установленного режима "Secure Boot" осуществляется при помощи следующей команды:
При активном режиме команда вернет строку "SecureBoot enabled".