Главная » Linux

Secure boot astra linux

На чтение 6 мин Просмотров 1 Опубликовано
Содержание
  1. Настройка загрузки Astra Linux Embedded
  2. Настройка в графическом меню
  3. Настройка в терминале
  4. AstraLinux с SecureBoot
  5. EvilDev
  6. Введение
  7. Подготовка компьютера
  8. Установка SecureBoot
  9. Отключение SecureBoot

Настройка загрузки Astra Linux Embedded

При изменении настройки отображения загрузочного меню GRUB2 с помощью графического меню ОС «fly-admin-grub2», могут появится следующие проблемы:

Сведения о текущем состоянии отображения меню GRUB2, получаемые с помощью консольной команды «astra-nobootmenu-control» могут быть неактуальными

При расхождении сведений о текущих настройках отображения меню GRUB2 в графическом меню ОС «fly-admin-grub2» и сведениях, получаемых с помощью консольной команды «astra-nobootmenu-control», попытки изменить настройки с помощью консольной команды «astra-nobootmenu-control» могут быть безрезультатными.

Настройка в графическом меню

Настройки GRUB2 находятся на панели управления «Пуск > Панель Управления > Система > Загрузчик GRUB2»
Данное окно можно открыть выполнив команду с наивысшими правами

Настройка в терминале

Обратите внимание, что команда содержит слово «nobootmenu» — отсутствие загрузочного меню, поэтому когда эта возможность включена, то загрузочное меню отключено.

Для получения желаемого результата выполните команду с наивысшими правами

Отключить отображение загрузочного меню:

astra-nobootmenu-control enable

Включить отображение загрузочного меню:

astra-nobootmenu-control disable

Узнать текущий статус отображения загрузочного меню:

astra-nobootmenu-control is-enabled

Значения результатов статуса:

Подробная справка о команде:

man astra-nobootmenu-control

Источник

AstraLinux с SecureBoot

Всем привет, если форум живой конечно. В общем, я захотел подружить AstraLinux с SecureBoot, чтобы можно было запускать с ним. Следовал данной инструкции: тык . В итоге столкнулся с проблемой: Astralinux dir in EFI part not found. При этом, сама данная директория astralinux в EFI присутствует. Как её решить-то? И ещё, при установке новых ключей старые же стираются, верно? Можно ли сделать подобие резервной копии или только хардкор-перепрошивка UEFI?

Читайте также:  Removing symbolic links linux

EvilDev

New member

Я бы проверил, отключен ли режим Legacy в биосе, у самого все работает условно хорошо. Условно, потому что из-за отсутствия в базе ключей сертификата от майкрософта отваливаются GOP драйвера как встроенной видеокарты, так и дискретной (и система банально не грузится дальше биоса с отключенным CSM). Подробнее про необходимость сертификата майков тут: https://habr.com/post/273497/
По ключам — дефолтные ключи висят в самой прошивке материнки, на сколько мне известно и как следует из моих личных опытов, восстановить их можно в биосе (как раз в разделе, отвечающим за Secure Boot).

И дабы не плодить похожие темы про Secure Boot, задам свой вопрос: есть необходимость использовать Dual Boot с Windows, при этом не отключая Secure Boot. Как быть? Метод с вики оставляет только ключи для астралинукса, что не подходит, уже написал выше почему+отваливается возможность использовать Windows. Попытки сделать свои ключи успешны, но что конкретно надо подписать у Астралинукса? Подписание grub64x.efi результата не дает, сваливаюсь в rescue mode граба с жалобой на Secure boot (secure boot forbids loading module from . /normal.mod). Пробовал подписывать бинарник из Efi/Boot — так же бесполезно. Вроде бы попытки подписать ядра тоже ничего не дают, но это пока не совсем точно. В итоге вот уже неделю бьюсь в экспериментах в попытке завести Win10+AstraLinux+SecureBoot+опционально rEFInd. Буду благодарен за помощь. В идеале было бы отучить астру от граба и запускать, используя EFI напрямую, так как граб по сути ненужное наследие древних времен.

Источник

Введение

Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи загружаемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.

  • Platform Key (PK) — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления;
  • Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.
Читайте также:  Линукс пропала сетевая карта

Подготовка компьютера

Установка Astra Linux и последующие действия должны производится только в режиме UEFI (т.е с отключенными в BIOS-е компьютера режимами CSM и Legacy).
Подробнее про установку Astra Linux в режиме UEFI см.:

Для создания загрузочного носителя требуется USB-накопитель с емкостью не менее 1ГБ.

Установка SecureBoot

  • Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 (потребуется подключение базового репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования );
  • Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6;
  • Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями;
  • Astra Linux Common Edition 2.11.* — 2.12;

необходимо наличие установленного пакета astra-safepolicy версии 1.0.32 и выше. В системах Astra Linux Special Edition с установленным актуальным обновлением пакет astra-safepolicy устанавливается автоматически, при необходимости установить его можно командой:

Дополнительно можно сразу установить необходимые пакеты (при наличии подключенных репозиториев пакетов эти пакеты будут автоматически установлены при первом запуске инструмента astra-secureboot):

  • Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.5 без установленных оперативных обновлений;
  • Astra Linux Common Edition 1.11

все пакеты необходимо установить вручную (команду см. выше).

Проверить имя подключенного накопителя, например, командой:

После выполнения указанной команды:

  • в каталоге /root/secureboot/key будут размещены все необходимые для работы ключи;
  • на указанном в команде USB-накопителе будет размещена загрузочная информация с необходимыми файлами.

В BIOS (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB;

Если все действия выполнены правильно, то загрузка будет выполнена с USB-накопителя и должен загрузиться KeyTool.

В меню «KeyTool» выбрать пункт «Edit Keys» и нажать Enter.

В меню «Select Key to Manipulate» выбрать пункт «The Allowed Signatures Database (db)» и нажать Enter ;

Читайте также:  Как создать папку пользователя linux

В меню «Manipulating Contents of The Allowed Signatures Database (db)» выбрать пункт «Replace Keys»;

Выбрать USB-накопитель, затем последовательно выбрать каталоги efi/ -> boot/ -> keys/ и выбрать файл db.auth;

Повторить действия сначала для KEK, потом для PK, выбрав, соответственно, файлы KEK.auth и PK.auth;

Вернуться в главное меню двойным нажатием на Esc, выбирать Exit;

После перезагрузки войти в BIOS и включить режим SecureBoot.

Отключение SecureBoot

Рекомендованный сценарий отключения SecureBoot:

  1. Удалить файл /etc/initramfs/post-update.d/update-efi-image;
  2. Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
  3. Переустановить загрузчик grub.

if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi
mv /boot/efi/EFI/astralinux/grubx64.efi /boot/efi/EFI/astralinux/grubx64.efi-old
grub-install —bootloader-id=astralinux

Источник

Оцените статью
© 2023 Posetke
Adblock
detector