Добавьте Ubuntu EFI DB и PK обратно в UEFI

Question

Добавьте Ubuntu EFI DB и PK обратно в UEFI

Я сбросил свой BIOS и теперь мой Ubuntu 16.04 диск не записывается, потому что он не может найти ключи безопасной загрузки Ubuntu. Как я могу добавить их обратно в мой UEFI, чтобы он загрузился?

Когда я пытаюсь загрузиться, я получаю сообщение: "Обнаружена неверная подпись. Проверьте политику безопасной загрузки в программе установки"

1

boot uefi secure-boot

Источник

Brady Dean 13 июн '16 в 19:29

1 ответ

Другие вопросы по тегам boot uefi secure-boot

Rod Smith 16 июн '16 в 13:36 2016-06-16 13:36 · Answer 1 · 2016-06-16 13:36

Во-первых, бинарный файл Ubuntu Shim включает в себя копию открытого ключа Canonical (Ubuntu), встроенного в него, и этот бинарный файл подписан Microsoft, поэтому в вашей прошивке должна быть возможность загрузки без ключа Canonical. Тем не менее, вы можете столкнуться с проблемой, которую вы описываете, если вы используете другой бинарный файл Shim - скажем, если вы используете двойную загрузку с Fedora и используете Fedora Shim для запуска процесса загрузки. (Также см. Самый конец этого ответа....)

В таком случае вы сможете использовать инструмент MokManager, чтобы добавить ключ Canonical в список MOK, который будет читать Шим. MokManager должен находиться на системном разделе EFI (ESP) вашего диска вместе с двоичным файлом Shim. В идеале MokManager должен быть опцией для любого GRUB или другого меню менеджера загрузки, которое вы видите при загрузке. Если нет, вы можете настроить /boot/grub/grub.cfg Файл для добавления такой записи, которая должна выглядеть так:

menuentry "MokManager" {
    insmod part_gpt
    insmod chain
    set root='(hd0,gpt1)'
    chainloader /EFI/fedora/MokManager.efi
}

Вам нужно будет настроить эту запись для вашей конкретной системы. В частности, set root опция должна указывать на ваш ESP, который может или не может быть (hd0,gpt1); и путь к MokManager может отличаться от указанного мной. (В качестве примера я показываю путь Fedora. Обратите внимание, что вы должны указать на двоичный файл MokManager, который поставляется вместе с двоичным файлом Shim, который вы используете.)

Есть несколько других доступных вам опций:

Вы можете полностью отключить безопасную загрузку. Это самый простой подход, но Secure Boot существует для повышения безопасности, поэтому я не рекомендую это как общее правило, особенно если вы используете двойную загрузку с Windows. Детали того, как его отключить, сильно различаются в разных системах. На этой странице я привожу несколько примеров .
Вы можете получить полный контроль над безопасной загрузкой и добавить открытый ключ Canonical в свою прошивку, как описано на этой моей странице. Этот подход предназначен для тех, у кого значительный "уличный кредит"; это технически сложно, и даже люди, которые знакомы с инструментами командной строки, вероятно, будут немного бороться. Я упоминаю этот подход главным образом потому, что заголовок вашего вопроса относится к PK и db, которые являются ключами, хранящимися таким образом. Стандартный подход Canonical к безопасной загрузке не предусматривает изменение этих ключей, но эти переменные настраиваются, когда вы получаете полный контроль над безопасной загрузкой. Если вы делали это раньше, возможно, все, что вам нужно, это указатель на соответствующую документацию, вот и все....