UEFI secure boot and shim support: Skillnad mellan sidversioner
Admin (diskussion | bidrag) |
Admin (diskussion | bidrag) Ingen redigeringssammanfattning |
||
(En mellanliggande sidversion av samma användare visas inte) | |||
Rad 1: | Rad 1: | ||
GRUB, med undantag för kommandot '''chainloader''', fungerar med UEFI Secure Boot och shim. Denna funktionalitet tillhandahålls av verifieraren '''shim_lock'''. Den är inbyggd i '''core.img''' och registreras om UEFI Secure Boot är aktiverat. Variabeln '''shim_lock''' sätts till ‘y’ när '''shim_lock'''-verifieraren är registrerad. Om det önskas att använda UEFI Secure Boot utan shim, kan man inaktivera '''shim_lock''' genom att inaktivera shim-verifiering med UEFI-variabeln '''MokSbState''' eller genom att bygga GRUB-avbildningen med alternativet ‘--disable-shim-lock’. | GRUB, med undantag för kommandot '''chainloader''', fungerar med UEFI Secure Boot och shim. Denna funktionalitet tillhandahålls av verifieraren '''shim_lock'''. Den är inbyggd i '''core.img''' och registreras om UEFI Secure Boot är aktiverat. Variabeln '''shim_lock''' sätts till ‘y’ när '''shim_lock'''-verifieraren är registrerad. Om det önskas att använda UEFI Secure Boot utan shim, kan man inaktivera '''shim_lock''' genom att inaktivera shim-verifiering med UEFI-variabeln '''MokSbState''' eller genom att bygga GRUB-avbildningen med alternativet ‘--disable-shim-lock’. | ||
Alla GRUB-moduler som inte finns i '''core.img''', operativsystemskärnor, ACPI-tabeller, Device Trees, etc. måste vara signerade, t.ex. med PGP. Dessutom kommer kommandon som kan användas för att undergräva UEFI Secure Boot-mekanismen, som '''iorw''' och '''memrw''', inte att vara tillgängliga när UEFI Secure Boot är aktiverat. Detta görs av säkerhetsskäl och upprätthålls av GRUB:s '''Lockdown'''-mekanism (se [[Lockdown]]). | Alla GRUB-moduler som inte finns i '''core.img''', operativsystemskärnor, ACPI-tabeller, Device Trees, etc. måste vara signerade, t.ex. med PGP. Dessutom kommer kommandon som kan användas för att undergräva UEFI Secure Boot-mekanismen, som '''iorw''' och '''memrw''', inte att vara tillgängliga när UEFI Secure Boot är aktiverat. Detta görs av säkerhetsskäl och upprätthålls av GRUB:s '''Lockdown'''-mekanism (se [[Lockdown when booting on a secure setup|Lockdown]]). | ||
= Sidslut = | = Sidslut = |
Nuvarande version från 13 september 2024 kl. 06.59
GRUB, med undantag för kommandot chainloader, fungerar med UEFI Secure Boot och shim. Denna funktionalitet tillhandahålls av verifieraren shim_lock. Den är inbyggd i core.img och registreras om UEFI Secure Boot är aktiverat. Variabeln shim_lock sätts till ‘y’ när shim_lock-verifieraren är registrerad. Om det önskas att använda UEFI Secure Boot utan shim, kan man inaktivera shim_lock genom att inaktivera shim-verifiering med UEFI-variabeln MokSbState eller genom att bygga GRUB-avbildningen med alternativet ‘--disable-shim-lock’.
Alla GRUB-moduler som inte finns i core.img, operativsystemskärnor, ACPI-tabeller, Device Trees, etc. måste vara signerade, t.ex. med PGP. Dessutom kommer kommandon som kan användas för att undergräva UEFI Secure Boot-mekanismen, som iorw och memrw, inte att vara tillgängliga när UEFI Secure Boot är aktiverat. Detta görs av säkerhetsskäl och upprätthålls av GRUB:s Lockdown-mekanism (se Lockdown).
Sidslut
Orginalhemsidan på Engelska : https://www.gnu.org/software/grub/manual/grub/html_node/UEFI-secure-boot-and-shim.html#UEFI-secure-boot-and-shim
Det här är en maskinöversättning av GNU-manualen till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på
https://www.linux.se/kontaka-linux-se/
Tack till Datorhjälp Stockholm som har sponsrat Linux.se med webserver.