Usando o Shim com o Debian

1

Como ativar o Secure Boot com o Shim no Debian? Tenho acompanhado todos os tipos de artigos online, mas agora perdi minha paciência. Alguém sabe como?

    
por Computer 28.04.2015 / 10:10

1 resposta

4

A última vez que ouvi, o Debian não suportou o Secure Boot. Se isso mudou com o Debian 8, isso deve simplificar bastante as coisas. Se o Debian não suportar o Secure Boot, eu sugiro que você dê um passo atrás de sua pergunta sobre o Shim e faça a pergunta sobre o Secure Boot em geral. Com esse passo atrás, há três soluções, falando de forma ampla:

  • Você pode usar o Pré-carregador da Linux Foundation como sua solução de inicialização segura. Essa ferramenta é conceitualmente semelhante a Shim, mas registra hashes de binários que você aprova, o que facilita a configuração do Shim, o que requer a assinatura criptográfica do seu gerenciador de inicialização e talvez de todos os seus kernels.
  • Você pode usar o Shim como sua solução de inicialização segura. O Shim é projetado para autenticar binários baseados em assinaturas criptográficas, então você tem que assinar sua cópia do GRUB (ou qualquer outro gerenciador de inicialização que você use), e possivelmente também seu (s) kernel (s) Linux. Este processo é um pouco tedioso e impossível de descrever sucintamente.
  • Você pode instalar suas próprias chaves de Inicialização Segura e usá-las para assinar o GRUB (ou qualquer outro carregador de inicialização usado) e possivelmente seus kernels. O processo de assinatura é o mesmo que seria ao usar o Shim, mas você pode remover completamente o Shim do processo. O problema é que a configuração das chaves é mais difícil do que instalar o Shim; mas você também pode remover chaves indesejadas (como as da Microsoft, se você não executar o Windows).
No geral, usar o PreLoader é provavelmente a solução mais fácil para a sua situação - embora se o Debian assinar seu GRUB e kernels, usar o Shim pode ser tão fácil, se não mais fácil, quando você localizar o arquivo de chave pública do Debian. >

Obviamente, esta resposta não está completa. Depois de decidir qual abordagem usar, você precisará de mais informações. Consulte minha página principal de Inicialização Segura para obter instruções sobre como usar o PreLoader e o Shim, e meu Página de inicialização segura para obter informações sobre como instalar e usar suas próprias chaves.

Mais um comentário: se esta for uma instalação de inicialização única, o uso da Inicialização Segura fornecerá benefícios mínimos, especialmente se você usar uma versão do GRUB que não respeita a Inicialização Segura. Os principais benefícios do Secure Boot estão em um sistema que pode ter seu carregador de boot substituído por malware. Historicamente, o Windows tem sido o alvo de tal malware, tanto como a plataforma que está comprometida quanto como o sistema operacional usado para instalar o malware. Isso não quer dizer que o Linux nunca possa ser direcionado, é claro; mas se for, e se você usar um gerenciador de partida não requer que o kernel seja assinado, você está ganhando muito pouco em segurança ativando o Secure Boot, já que o invasor precisaria apenas substituir seu kernel de estoque para assumir o controle do seu sistema.

    
por 28.04.2015 / 15:01