Введение

Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи выполняемых загружаемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.

Некоторые термины:

• Platform Key (PK) — — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.;
• Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.

Подготовка компьютера

Установка SecureBoot

• Astra Linux SE Special Edition РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями.7 (потребуется подключение базового репозитория, см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования );
• Astra Linux SE Special Edition РУСБ.10015-01 очередное обновление 1.6;
• Astra Linux Special Edition  РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями;
• Astra Linux CE Орел Common Edition 2.11.* - 2.12;

необходимо установить пакет наличие установленного пакета astra-safepolicy версии 1.0.32 и выше. В системах Astra Linux Special Edition с установленным актуальным обновлением пакет astra-safepolicy устанавливается автоматически, при необходимости установить его можно командой:

Дополнительно можно сразу установить необходимые пакеты (при наличии подключенных репозиториев пакетов эти пакеты будут автоматически установлены при первом запуске инструмента astra-secureboot):

Для:

• Astra Linux SE Special Edition РУСБ.10015-01 очередное обновление 1.5 без установленных оперативных обновлений;
• Astra Linux CE  Орел Common Edition 1.11

необходимо установить  пакеты efitools и sbsigntool из репозитория обновления и пакет astra-safepolicy версии 1.0.32 и вышевсе пакеты необходимо установить вручную (команду см. выше).

Подключить USB флеш. В процессе работы -накопитель.

Проверить имя подключенного накопителя, например, командой:

Выполнить команду:

После выполнения указанной команды:

• в каталоге /root/secureboot/key будут

• размещены все необходимые для работы ключи

• ;
• на указанном в команде USB-накопителе будет размещена загрузочная информация с необходимыми файлами.

Перезагрузить систему.

В БИОСе BIOS (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB;

Если все действия выполнены правильно сделали, то загрузка будет выполнена с USB-накопителя и должен загрузиться KeyTool.

После загрузки KeyTool:

В меню "KeyTool выбираем " выбрать пункт "Edit Keys" и нажать Enter.

В меню "Select Key to Manipulate" выбрать пункт "The Allowed Signatures Database (db)" и нажать Enter ;

В меню "Manipulating Contents of The Allowed Signatures Database (db)" выбрать пункт "Replace Keys";

Выбрать USB-накопитель, затем последовательно выбрать каталоги В нем выбираем db, затем Replace Keys, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> и выбрать файл db.auth;

Повторить действия Повторяем то же самое сначала для KEK, потом для PK, после выходим выбрав, соответственно, файлы KEK.auth и PK.auth;

Вернуться в главное меню двойным нажатием на Esc и выбираем Exit.,  выбирать Exit;

После перезагрузки войти в BIOS и включить После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot.

Отключение SecureBoot

Рекомендованный сценарий отключения SecureBoot:

1. Удалить файл /etc/initramfs/post-update.d/update-efi-image;
2. Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
3. Переустановить загрузчик grub.

Последовательность команд: