Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Common Edition 2.12
Введение
Secure Boot («безопасная загрузка») — протокол, являющийся частью спецификации UEFI. Заключается в проверке подписи выполняемых UEFI-образов, используя асимметричную криптографию относительно ключей, хранящихся в ключевом хранилище системы.
Некоторые термины:
- Platform Key (PK) — открытый ключ владельца платформы. Подписи соответствующим закрытым ключом необходимы для смены PK или изменения KEK, db и dbx (описаны далее). Хранилище PK должно быть защищено от вмешательства и удаления.
- Key Exchange Key (KEK) — открытые ключи операционных систем. Подписи соответствующими закрытыми ключами необходимы для изменения баз данных подписей. Хранилище KEK должно быть защищено от вмешательства.
Установка SecureBoot
ВАЖНО!
Установка Astra Linux и последующие действия должны производится только в UEFI режиме (т.е с отключенными в БИОСе режимами CSM и Legacy).
Для:
- Astra Linux SE РУСБ.10015-01 очередное обновление 1.5 с установленными оперативными обновлениями;
- Astra Linux SE РУСБ.10015-01 очередное обновление 1.6;
- Astra Linux CE 2.11.* - 2.12;
необходимо установить пакет astra-safepolicy
версии 1.0.32 и выше.
Для:
- Astra Linux SE РУСБ.10015-01 очередное обновление 1.5 без установленных оперативных обновлений;
- Astra Linux CE 1.11
необходимо установить пакеты efitools
и sbsigntool
из репозитория обновления и пакет astra-safepolicy
версии 1.0.32 и выше.
Подключить USB флеш. В процессе работы все данные на ней будут удалены.
Выполнить команду:
После выполнения команды в каталоге /root/secureboot/key будут находится все необходимые для работы ключи, будет создана загрузочная USB флеш с необходимыми файлами.
Перезагрузить систему. В БИОСе (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB
Если все действия выполнены правильно, то должен загрузиться KeyTool.
В меню KeyTool
выбираем Edit Keys
В нем выбираем db
, затем Replace Keys
, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> db.auth
Повторяем то же самое сначала для KEK
, потом для PK
, после выходим в главное меню двойным нажатием на Esc и выбираем Exit.
После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot
.
Внимание!
Отключение SecureBoot
Рекомендованный сценарий отключения:
- Удалить файл /etc/initramfs/post-update.d/update-efi-image;
- Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
- Переустановить загрузчик grub.
Последовательность команд:
mv /boot/efi/EFI/astralinux/grubx64.efi /boot/efi/EFI/astralinux/grubx64.efi-old
grub-install --bootloader-id=astralinux