Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи выполняемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.
Некоторые термины:
- Platform Key (PK) — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.
- Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.
Установка SecureBoot
Информация | ||
---|---|---|
| ||
Установка Astra Linux и последующие действия должны производится только в UEFI режиме (т.е с отключенными в БИОСе режимами CSM и Legacy). |
Для:
- Astra Linux SE
- РУСБ.10015-01 очередное обновление 1.5
- с установленными оперативными обновлениями;
- Astra Linux SE РУСБ.10015-01 очередное обновление 1.6
- ;
- Astra Linux CE
- 2.11.* - 2.12;
необходимо установить пакет astra-safepolicy
версии 1.0.32 и выше.
Для:
- Astra Linux SE
- РУСБ.10015-01 очередное обновление 1.5
- без установленных оперативных обновлений;
- Astra Linux
- CE 1.11
необходимо установить пакеты efitools
и sbsigntool
из репозитория обновления и пакет astra-safepolicy
версии 1.0.32 и выше.
Подключить USB флеш. В процессе работы все данные на ней будут удалены.
Выполнить команду:
Command |
---|
sudo astra-secureboot /dev/{usb_flash} |
После выполнения команды в каталоге /root/secureboot/key будут находится все необходимые для работы ключи, будет создана загрузочная USB флеш с необходимыми файлами.
Перезагрузить систему. В БИОСе (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB
Если все действия выполнены правильно сделали, то должен загрузиться KeyTool.
В меню KeyTool
выбираем Edit Keys
В нем выбираем db
, затем Replace Keys
, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> db.auth
Повторяем то же самое сначала для KEK
, потом для PK
, после выходим в главное меню двойным нажатием на Esc и выбираем Exit.
После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot
.
Предупреждение | ||
---|---|---|
| ||
С включенным режимом SecureBoot будут не доступны режимы - Hibernate hibernate и Hybridhybrid-Sleepsleep. |
Отключение SecureBoot
Рекомендованный сценарий отключения:
- Удалить файл /etc/initramfs/post-update.d/update-efi-image;
- Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
- Переустановить загрузчик grub.
Последовательность команд:
Command |
---|
if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi |