Problema: Kernels não assinados são inicializados na máquina habilitada para UEFI Secure Boot
Configuração:
OS: Canonical assinado Ubuntu 16,04
GRUB2: Canonical assinado 2.02 ~ beta2-36ubuntu3.17
SHIM: Microsoft assinou chaves canônicas no DB
A inicialização segura normal funciona e confirmada via log demsg BOOT_IMAGE para observar * ... efi.signed image loads e 'sbverify' para verificar se o mesmo está assinado com a chave canônica.
Eu pretendo desativar a carga do kernel não assinada em uma máquina UEFI com inicialização segura ativada. Eu me referi a # 1401532 .
e outros links relacionados ao assunto.
Existe alguma maneira de forçar apenas o carregamento de kernel assinado e bloquear todo o kernel não assinado com a configuração atual mencionada acima? com mudanças mínimas no grub.cfg, qualquer patch, etc.
Obrigado AT