ระหว่างการอัปเดตซอฟต์แวร์ Ubuntu 20.04 ฉันได้รับแจ้งว่า "ตัวโหลด bootloader ที่โหลดโซ่ Boot ปลอดภัย (ไบนารีที่ลงนามโดย Microsoft)" กำลังจะได้รับการติดตั้ง/ปรับปรุง ฉันไม่ต้องการอนุญาตให้เรียกใช้ไบนารีที่ลงนามโดย Microsoft ระหว่างการบู๊ต มีวิธีลบออกหรือไม่ เพื่อไม่ให้ได้รับคำแนะนำการอัปเดตประเภทนี้อีกในอนาคต
ผลิตภัณฑ์ Microsoft เดียวที่ฉันมีคือ Teams และฉันต้องการให้เป็นแบบแซนด์บ็อกซ์มากที่สุดเท่าที่จะเป็นไปได้
คุณสามารถใช้ "วิธีที่ 2 - ปิดใช้งาน Secure Boot ใน shim-signed" ของ https://wiki.ubuntu.com/UEFI/SecureBoot/DKMS
คุณจะต้องติดตั้ง โมคูติล.
โปรดโพสต์ข้อเสนอแนะหากคุณลองทำสิ่งนี้
หรือ "วิธีที่ 3 - ปิดใช้งาน Secure Boot จาก BIOS"
โปรดทราบว่า ชิมเซ็น ไม่ใช่สิ่งที่ "ไม่พึงประสงค์" ดู นี้ เพื่ออธิบายที่มาของมัน
และถ้าคุณต้องการใช้ Secure Boot คุณควรทำ ชิมเซ็น ปรับปรุง
แม้ว่าโดยทั่วไปแล้วฉันจะเห็นอกเห็นใจกับความรู้สึกนี้ แต่ฉันมั่นใจว่าคุณกำลังใช้แนวทางที่ผิดในที่นี้ ในความเป็นจริงมันจะทำให้คุณห่างไกลจากเป้าหมายสุดท้ายของคุณมากกว่าที่เป็นอยู่
หากคุณใช้ chainloader นั้นอย่างปลอดภัย สภาพแวดล้อมของคุณก็จะ "ปราศจาก MS-signature" อยู่แล้ว คุณมีหนึ่งลายเซ็น MS ปลอมซึ่งให้ยืมตัวเองกับทุกสิ่งที่โหลดระหว่างการบู๊ตแบบเรียกซ้ำ กล่าวอีกนัยหนึ่งทุกอย่าง
วิธีแก้ไขปัญหาอื่น (ชั่วคราว): ปิด SecureBoot ด้วยวิธีนี้ ทั้ง bootloader นี้หรือไบนารีที่ลงนามโดย MS อื่น ๆ ใช้ได้เฉพาะเมื่อยังเป็นการตั้งค่า BIOS ในเครื่องของคุณ พีซีและแล็ปท็อปรุ่นใหม่จำนวนมากติดตั้งระบบไบออส "SecureBoot Only" โดยไม่มีตัวเลือกรุ่นเก่า
สิ่งที่ 1:
ประการแรก ในสภาพแวดล้อม Linux "ลงนามโดย Microsoft" ไม่ได้แปลว่ามีการลงนามโดย Microsoft จริงๆ มันแค่หมายความว่ามีคนทำให้ดูเหมือนว่ามันเป็นเราทำเช่นนี้กับซอฟต์แวร์ที่จะทำงานระหว่างกระบวนการบู๊ต เพื่อให้ทำงานโดยไม่มีข้อจำกัดในสภาพแวดล้อมที่เปิดใช้งาน SecureBoot (SB)
นั่นคือทั้งหมดที่ SecureBoot เป็น มันไม่ปลอดภัยอะไรเลย เพียงแค่ตัดสิทธิพิเศษ เช่น การเข้าถึงอินเทอร์เน็ต เพื่อประมวลผลโค้ดที่รันระหว่างการบู๊ตที่ไม่ได้เชื่อมโยงกับลายเซ็นดิจิทัลของ MS
ขออภัย ซอฟต์แวร์ที่ทำงานในขณะบูตเป็นซอฟต์แวร์ที่สำคัญต่อระบบส่วนใหญ่ในคอมพิวเตอร์ของคุณ สิ่งหนึ่งที่เฟิร์มแวร์ส่วนใหญ่ถูกโหลดในเวลานั้น สิ่งนี้ให้การเข้าถึงทรัพยากรทางกายภาพเหนือสิ่งอื่นใด
ดังนั้น หากคุณเปิดใช้ SecureBoot และมีอินเทอร์เน็ต แสดงว่าคุณกำลังเรียกใช้ซอฟต์แวร์ที่มีการลงชื่อ เท่าที่ฉันรู้ Ubuntu ยังไม่ได้ก้าวกระโดดและเริ่มสร้างโมดูลเคอร์เนล หรือมีพวกเขา?
สิ่งที่ 2:
วิธีหนึ่งในการหลีกเลี่ยงกฎ "เฉพาะรหัสที่ลงนามระหว่างการบู๊ต" ของ SB คือการโหลดซอฟต์แวร์ของคุณแบบเชน ด้วยตัวโหลดโซ่ ความน่าเชื่อถือจะถอยกลับไปที่ลิงค์แรกในโซ่ สำหรับคุณนี่คือตัวโหลดบูต
สำหรับสิ่งหนึ่ง (เพิ่มเติม) หมายความว่า หากคุณลบ SecureBoot จะไม่ทำงาน
ที่จริงมันผิด หากคุณลบจะเป็นการบูตที่ปลอดภัย จะ ทำงาน และที่แย่กว่านั้นคือ imo ประเด็นนี้มีความสำคัญเนื่องจากเป็นหัวใจของคำตอบนี้
ไม่มีใครช่วย แต่สังเกตเห็นการประชดที่นี่ คำตอบนี้สามารถทำให้เป็นฤดูร้อนได้ดีที่สุดด้วยข้อความต่อไปนี้:
ในคำถามของคุณ คุณระบุประเด็นอย่างชัดเจน
ฉันไม่ต้องการให้ Microsoft เซ็นชื่อไบนารีที่จะดำเนินการระหว่างการบู๊ต...
หากนี่คือเป้าหมายสุดท้ายของคุณ และคุณกำลังใช้งานสภาพแวดล้อมที่เปิดใช้งาน SecureBoot bootloader ที่โหลดลูกโซ่ของ SecureBoot (Canonical sign??) คือ สิ่งเดียวที่ทำให้คุณไม่จำเป็นต้องเปลี่ยนทุกโปรแกรมบูตเวลาในระบบของคุณเพื่อเป็นทางเลือกของ Microsoft
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
