
Es ist ein Kinderspiel, den sicheren Start in einer virtuellen Maschine zu aktivieren, aber ich habe Probleme, dasselbe mit OpenSUSE auf meinem Computer von 2012 zu tun, der sich weigert, selbst in der Standardkonfiguration im sicheren Startmodus zu starten (mit den Schlüsseln von Microsoft, wie es scheint). Ich möchte den kritischsten Teil beheben: Stimmen die Schlüssel zwischen der Firmware und dem Shim überein? Wie kann ich das überprüfen?
Antwort1
Was ist Secure Boot?
ZitierenPartikel.io:
...Secure Boot bezeichnet den Prozess der Authentifizierung der Firmware und des Betriebssystems eines Geräts anhand eines bekannten sicheren kryptografischen Schlüssels, der zum Zeitpunkt der Herstellung auf dem Gerät gespeichert wurde. Diese Authentifizierung erfolgt bei jedem Booten des Geräts, um zu bestätigen, dass die geladene Firmware oder der geladene Code die legitime Version ist, die vom Hersteller dort gespeichert wurde.
Das obige Zitat und der Link beziehen sich auf IoT-Geräte. Das Zitat gilt auch für PCs, wenn wir sie als „Dinge“ betrachten. Im Fall der Frage des OP spielt das Alter des Geräts keine Rolle, da die Prämisse des Zitats 2012 dieselbe war wie heute. Ich werde den Rest dieser Antwort zur Fehlerbehebung mit der Annahme beginnen, dass das Schlüsselrepository „zurückgesetzt“ werden muss, was der OP bereits getan hat, aber ich tue es zum Nutzen zukünftiger Besucher.
Detaillierte Schritte
Lassen Sie uns eine nummerierte Liste der zu erledigenden Aufgaben erstellen, um diese Aufgabe in kleinere Abschnitte zu unterteilen:
- Informieren Sie sich überSo funktioniert Secure Boot unter Linux im Hinblick auf SuSE. Notiz: Die Implementierung in diesem Link aus dem Jahr 2012 entspricht im Wesentlichen der Implementierung des sicheren Bootvorgangs bei allen Distributionen.
- Der Einfachheit halber werde ich das Wesentliche des Artikels veröffentlichen (für diejenigen unter Ihnen, die ihn nur überfliegen), da dies das grundlegende Problem des OP ist:
- Der Einfachheit halber werde ich das Wesentliche des Artikels veröffentlichen (für diejenigen unter Ihnen, die ihn nur überfliegen), da dies das grundlegende Problem des OP ist:
- Setzen Sie die Firmware des Macs auf die Werkseinstellungen zurück, indem SieDurchführen eines PRAM-Resets
- Führen Sie die folgenden Schritte ausskizziert von Roderick Smith
- Schritt 3 kann vereinfacht werden, wenn das OpenSuSE Live ISO entweder das Programm MokManager oder das Programm MokUtil enthält.
- Registrieren Sie Ihren gewünschten Schlüssel in der MOK-Datenbank.
- Optional: Wenn Sie die obigen Schritte (Punkte 3 und 4) befolgen, registrieren Sie am Ende sowohl den rEFInd-Schlüssel als auch den SuSE-Schlüssel. Wenn Sie einen Dual-Boot von OSX und OpenSuSE planen, empfehle ich die Verwendung dieses Boot-Managers. Wenn Sie nur OpenSuSE verwenden möchten, müssen Sie nur dieses Zertifikat registrieren.
- Sie
shim
sollten nun die neuen Schlüssel kennen und den Prozess korrekt an Grub2 weiterleiten. Grub 2 wird OpenSuSE booten.
Was tun, wenn die oben genannten Schritte fehlschlagen?
Siehe den Abschnitt zur Fehlerbehebung vonInstallieren Sie openSUSE auf einem Mac. Als Ahnung möchte ich Roderick Smith noch einmal zitieren:
Einige EFI-Implementierungen (meist von vor 2014) berücksichtigen die über efibootmgr oder andere Tools von Linux festgelegten Startoptionen nur unzureichend. Möglicherweise haben Sie auch keinen Zugriff auf solche Dienstprogramme, beispielsweise wenn Sie rEFInd unter Windows installieren müssen. In solchen Fällen müssen Sie möglicherweise den Namen des Bootloaders ändern, damit das EFI ihn als Standard-Bootloader erkennt. rEFInd sollte dann starten, wenn Ihrem NVRAM Informationen zu bestimmten zu verwendenden Bootloadern fehlen.
Benennen Sie im obigen Fall shim<arch>.efi
die Datei von OpenSuSE in um boot<arch>.efi
und platzieren Sie sie im BOOT
Verzeichnis (wenn es kein Verzeichnis gibt BOOT
, platzieren Sie sie im Stammverzeichnis), wo arch
entweder x32
oder steht x64
. Wenn diese Methode funktioniert, unterstützt die Firmware des OP nur das Booten von einer Datei. Siehe:Alternative Benennungsoptionen.
Nebenbei bemerkt sind solche Fixes auch auf neueren Systemen nötig. Siehe:Aktualisieren Sie NVRAM, sodass auf dem Debian-System für einen sicheren Start shimx64.efi statt grubx64.efi ausgeführt wird.. Ich fühle den Schmerz des OP in dieser Hinsicht.