Справочный центр

Дерево страниц

Сравнение версий

Старая версия 6

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 11

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1

  • Astra Linux Common Edition 2.12


Введение

Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи выполняемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.

Некоторые термины:

  • Platform Key (PK) — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.
  • Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства
. Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
    • ОС СН Смоленск 1
    • .
    6

    Установка SecureBoot

    Информация
    titleВАЖНО!

    Установка Astra Linux и последующие действия должны производится только в UEFI режиме (т.е с отключенными в БИОСе режимами CSM и Legacy).

    Для:

    • Astra Linux SE
    (ОС СН Смоленск ) версий
    • РУСБ.10015-01 очередное обновление 1.5
    .* -
    • с установленными оперативными обновлениями;
    • Astra Linux SE РУСБ.10015-01 очередное обновление 1.6
    и
    • ;
    • Astra Linux CE
    (ОС ОН Орёл) версий
    • 2.11.* - 2.12;

    необходимо установить пакет astra-safepolicy версии 1.0.32 и выше.

    Для:

    • Astra Linux SE
    (ОС СН Смоленск ) версии
    • РУСБ.10015-01 очередное обновление 1.5
    и
    • без установленных оперативных обновлений;
    • Astra Linux
    CE  (ОС ОН Орёл) версии
    • CE 1.11

    необходимо установить  пакеты efitools и sbsigntool из репозитория обновления и пакет astra-safepolicy версии 1.0.32 и выше.

    Подключить USB флеш. В процессе работы все данные на ней будут удалены.

    Выполнить команду:

    Command
    sudo astra-secureboot /dev/{usb_flash}


    После выполнения команды в каталоге /root/secureboot/key будут находится все необходимые для работы ключи, будет создана загрузочная USB флеш с необходимыми файлами.

    Перезагрузить систему. В БИОСе (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB

    Если все действия выполнены правильно сделали, то должен загрузиться KeyTool.

    В меню KeyTool выбираем Edit Keys

    В нем выбираем db, затем Replace Keys, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> db.auth

    Повторяем то же самое сначала для KEK, потом для PK, после выходим в главное меню двойным нажатием на Esc и выбираем Exit.

    После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot.

    Предупреждение
    titleВнимание!
    С включенным режимом SecureBoot будут не доступны режимы - Hibernate hibernate и Hybridhybrid-Sleepsleep.

    Отключение SecureBoot

    Рекомендованный сценарий отключения:

    1. Удалить файл /etc/initramfs/post-update.d/update-efi-image;
    2. Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
    3. Переустановить загрузчик grub.

    Последовательность команд:


    Command

    if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi
    mv /boot/efi/EFI/astralinux/grubx64.efi /boot/efi/EFI/astralinux/grubx64.efi-old
    grub-install --bootloader-id=astralinux