无忧启动论坛

标题: 关于安全启动的签名测试不算是好消息 [打印本页]

作者: 求道者 时间: 2016-11-28 00:41
标题: 关于安全启动的签名测试不算是好消息
总之按照e文教程来了一发efi签名
签上了给主板导入根证书
然后运行xorboot
OK 通过没有被安全启动阻拦……
然后问题来了
我寻思着启动grub2
然后就被安全启动拦下来了
这签名验证是链式传导的呀

这么说没法用Ubuntu的grub2启动其他没签名的系统咯？

那怎么听说可以用signed-shim运行没签名的系统？

作者: 窄口牛 时间: 2016-11-28 05:39
是的，所有使用的efi文件都必须签名的，一个不能例外。问题是你明知道那条路红灯对多，你还不走灯少的。

作者: wintoflash 时间: 2016-11-28 07:16
启动linux不需要给内核签名
只有启动其他efi文件才需要签名

作者: 求道者 时间: 2016-11-28 08:02
本帖最后由求道者于 2016-11-28 08:06 编辑

窄口牛发表于 2016-11-28 05:39
是的，所有使用的efi文件都必须签名的，一个不能例外。问题是你明知道那条路红灯对多，你还不走灯少的。

我是今天才找到怎么给efi签名的啊……
在这之前我一直都以为只要bootx64.efi签了名就OK了……
而且xorboot没法直接启动linux镜像

作者: 求道者 时间: 2016-11-28 08:04

wintoflash 发表于 2016-11-28 07:16
启动linux不需要给内核签名
只有启动其他efi文件才需要签名

限制还真多啊……
偏偏我还有几个efi工具固件...

作者: wintoflash 时间: 2016-11-28 10:00

求道者发表于 2016-11-28 08:04
限制还真多啊……
偏偏我还有几个efi工具固件...

eif工具应用类的基本上都可以通过安全启动，例如memtest86
但是konboot不能通过安全启动

作者: 窄口牛 时间: 2016-11-28 10:39
能否分享你的efi工具？

作者: 求道者 时间: 2016-11-28 12:15

窄口牛发表于 2016-11-28 10:39
能否分享你的efi工具？

memtest86 konboot
其他的好像还真没

作者: rkr077 时间: 2016-12-21 13:06
目前支持UEFI的有Ubuntu Fedora CentOS OpenSUSE SUSE RHEL。Linux内核和模块需要签名。实际上就是给微软99美元，让微软帮你签名。

作者: wintoflash 时间: 2017-1-23 20:52
本帖最后由 wintoflash 于 2017-1-23 20:54 编辑

楼主是用sbsigntool给xorboot签的名吗？我给xorboot签过名后启动xorboot会卡死,显示“XORBOOT UEFI X64 0.2.3 Copyright ...”，而签过名的grub2可以正常加载。

欢迎光临无忧启动论坛 (http://wuyou.net/)