Na instalação inicial do Ubuntu 16.04, desmarquei a opção "Instalar software de terceiros" e, por baixo dele, fui solicitado a desmarcar outra opção que permitiria que o pacote do sistema operacional desabilitasse automaticamente a inicialização segura por conta própria, um pré-requisito que era criando uma senha que de alguma forma permita que todo esse processo ocorra.
Depois de continuar com a instalação, nunca recebi nenhuma indicação de que essa desativação da inicialização segura havia ocorrido, nem fui solicitado a inserir a senha que havia criado.
Após a instalação bem-sucedida do sistema operacional, reiniciei o computador e verifiquei o BIOS. No BIOS, a inicialização segura ainda estava ativada. No entanto, no Ubuntu, sou capaz de reproduzir arquivos MP3 e Flash perfeitamente, o que suponho indicar que a instalação de software de terceiros foi bem-sucedida.
Ainda não encontrei nenhum problema (além do fato de a interface do usuário ter sido um pouco complicada às vezes), mas gostaria de saber o que realmente consegui ao criar essa senha.
O que aconteceu com a senha que eu criei? Vou precisar me lembrar por algum motivo? Não é o mesmo que minha senha de login / sudo.
O Ubuntu editou permanentemente meu BIOS para abrir uma exceção por si mesmo? Em caso afirmativo, como posso visualizar essas alterações e potencialmente desfazê-las? É aí que a senha entra?
Por que o Ubuntu precisa desativar / ignorar a inicialização segura para instalar o pacote ubuntu-strict-extras de qualquer maneira? Minha instalação está boa? Eu me preparei para problemas futuros? Devo tentar reinstalar com a inicialização segura desativada manualmente para não receber esse prompt em primeiro lugar?
Informações adicionais: Estou executando um sistema UEFI e inicializando o Ubuntu 16.04 com o Windows 10.
Outro usuário fez uma pergunta sobre um problema semelhante aqui. Diferentemente deste usuário, não recebo um aviso sobre "inicializar em modo inseguro", mas também gostaria de saber se o Ubuntu criou uma exceção para si e como eu poderia gerenciar essas exceções. Diferentemente de mim, esse usuário não mencionou nada sobre ter que criar uma senha.
fonte
hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. O último dígito na primeira linha (0 ou 1) indica o status do Secure Boot (inativo ou ativo).0000000 0006 0000 0001 0000005Parece que está definitivamente ativo. Observe que eu desativei e o reativei algumas vezes para ver se algo aconteceria e nada aconteceu. Mais uma vez, tudo está indo bem até agora, meu único medo é que algo possa dar errado em algum momento no futuro. Depois de ler alguma documentação, parece que a senha temporária deve funcionar como uma espécie de substituto para a inicialização segura, em vez de o Ubuntu suportar diretamente o próprio recurso. Considerando que nunca mais fui solicitado, meu melhor palpite é que o recurso está incompleto / com erros.Respostas:
O UEFI Secure Boot protege seu carregador de inicialização contra violações usando uma combinação de chaves e assinaturas CA nos arquivos de inicialização. A Microsoft, por exemplo, assinou carregadores de inicialização para os quais as chaves CA já estão presentes no firmware UEFI da maioria dos PCs.
Isso protege apenas o núcleo inicial do carregador e nada depois. Por exemplo, initrd (initramfs) não está protegido ou nada depois (GRUB, kernel, módulos, drivers, qualquer coisa no espaço do usuário, etc.).
O software de terceiros que você instalou PODE incluir certos códigos PCI ou RAID de baixo nível necessários para o carregador de inicialização, e é por isso que você precisa criar uma senha, que criará uma chave no espaço do firmware UEFI. Após as modificações, se o sistema perceber algo diferente no momento da inicialização, o BIOS irá parar no POST e solicitará a mesma senha digitada durante a instalação para provar que você foi quem instalou o software. Esse método garante que um usuário sentado fisicamente no computador esteja inserindo essa senha como confirmação, pois nenhum software pode ser carregado no momento do BIOS POST para falsificá-lo.
Para a maioria dos sistemas de usuários, a inicialização segura faz pouco para protegê-lo. Não impede vírus, malware ou instalação desses. Tudo isso evita a adulteração de baixo nível do carregador de inicialização, que geralmente é impedida pelo antivírus básico ou pela segurança do sistema operacional. Na minha opinião, e de acordo com a maioria da documentação existente, ela pode ser desativada com segurança.
fonte