Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1

  • Astra Linux Common Edition 2.12

Введение

Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи выполняемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.

Некоторые термины:

  • Platform Key (PK) — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.
  • Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.

Установка SecureBoot

ВАЖНО!

Установка Astra Linux и последующие действия должны производится только в UEFI режиме (т.е с отключенными в БИОСе режимами CSM и Legacy).

Для:

  • Astra Linux SE РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями;
  • Astra Linux SE РУСБ.10015-01 очередное обновление 1.6;
  • Astra Linux CE 2.11.* - 2.12;

необходимо установить пакет astra-safepolicy версии 1.0.32 и выше.

Для:

  • Astra Linux SE РУСБ.10015-01 очередное обновление 1.5 без установленных оперативных обновлений;
  • Astra Linux CE 1.11

необходимо установить  пакеты efitools и sbsigntool из репозитория обновления и пакет astra-safepolicy версии 1.0.32 и выше.

Подключить USB флеш. В процессе работы все данные на ней будут удалены.

Выполнить команду:

sudo astra-secureboot /dev/{usb_flash}

После выполнения команды в каталоге /root/secureboot/key будут находится все необходимые для работы ключи, будет создана загрузочная USB флеш с необходимыми файлами.

Перезагрузить систему. В БИОСе (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB

Если все действия выполнены правильно, то должен загрузиться KeyTool.

В меню KeyTool выбираем Edit Keys

В нем выбираем db, затем Replace Keys, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> db.auth

Повторяем то же самое сначала для KEK, потом для PK, после выходим в главное меню двойным нажатием на Esc и выбираем Exit.

После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot.

Внимание!

С включенным режимом SecureBoot будут не доступны режимы hibernate и hybrid-sleep.

Отключение SecureBoot

Рекомендованный сценарий отключения:

  1. Удалить файл /etc/initramfs/post-update.d/update-efi-image;
  2. Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
  3. Переустановить загрузчик grub.

Последовательность команд:


if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi
mv /boot/efi/EFI/astralinux/grubx64.efi /boot/efi/EFI/astralinux/grubx64.efi-old
grub-install --bootloader-id=astralinux

  • No labels