Содержание

Перейти к концу метаданных
Переход к началу метаданных

Установка SecureBoot

ВАЖНО!

Установка Astra Linux и последующие действия должны производится только в UEFI режиме (т.е с отключенными в БИОСе режимами CSM и Legacy).

Для AstraLinux SE (ОС СН Смоленск ) версий 1.5.* - 1.6 и AstraLinux CE (ОС ОН Орёл) версий 2.11.* - 2.12 необходимо установить пакет astra-safepolicy версии 1.0.32 и выше.

Для AstraLinux SE (ОС СН Смоленск ) версии 1.5 и AstraLinux CE  (ОС ОН Орёл) версии 1.11 необходимо установить  пакеты efitools и sbsigntool из репозитория обновления и пакет astra-safepolicy версии 1.0.32 и выше.

Подключить USB флеш. В процессе работы все данные на ней будут удалены.

Выполнить команду:

sudo astra-secureboot /dev/{usb_flash}

После выполнения команды в каталоге /root/secureboot/key будут находится все необходимые для работы ключи, будет создана загрузочная USB флеш с необходимыми файлами.

Перезагрузить систему. В БИОСе (или функциональной клавишей F12) выбрать вариант загрузки с UEFI: USB

Если все правильно сделали, то должен загрузиться KeyTool.

В меню KeyTool выбираем Edit Keys

В нем выбираем db, затем Replace Keys, затем ваше USB устройство, а затем файл efi/ -> boot/ -> keys/ -> db.auth

Повторяем то же самое сначала для KEK, потом для PK, после выходим в главное меню двойным нажатием на Esc и выбираем Exit.

После этого перезагружаемся, заходим в БИОС и включаем режим SecureBoot.

Внимание!

С включенным режимом SecureBoot будут не доступны режимы - Hibernate и Hybrid-Sleep.

Отключение SecureBoot

Рекомендованный сценарий отключения:

  1. Удалить файл /etc/initramfs/post-update.d/update-efi-image;
  2. Сохранить копию файла /boot/efi/EFI/astralinux/grubx64.efi;
  3. Переустановить загрузчик grub.

Последовательность команд:

if [ -f /etc/initramfs/post-update.d/update-efi-image ]; then rm /etc/initramfs/post-update.d/update-efi-image; fi
mv /boot/efi/EFI/astralinux/grubx64.efi /boot/efi/EFI/astralinux/grubx64.efi-old
grub-install --bootloader-id=astralinux

  • Нет меток