Shim só funciona no modo de inicialização não seguro

1

Estou tentando fazer com que minha inicialização dupla (Arch + Win10) funcione com o Secure Boot. Eu segui o Arch Wiki , com os seguintes passos.

sudo mount /dev/sda1 /boot/efi
sudo mv /boot/efi/EFI/Boot/bootx64.efi /boot/efi/EFI/Boot/grubx64.efi
sudo cp /usr/share/shim-signed/shimx64.efi /boot/efi/EFI/Boot/bootx64.efi
sudo cp /usr/share/shim-signed/mmx64.efi /boot/efi/EFI/Boot/
sudo openssl req -newkey rsa:2048 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=MOK_LENOVO_MASSIMO/" -out MOK.crt
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-linux /boot/vmlinuz-linux
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/efi/EFI/BOOT/grubx64.efi /boot/efi/EFI/BOOT/grubx64.efi
sudo cp MOK.cer /boot/efi/EFI/
systemctl reboot --firmware-setup

Quando habilitei o Secure Boot, o sistema inicializou diretamente no Windows (que é após o novo "shim" bootx64.efi, ainda chamado de "rEFInd Boot Manager", na ordem de inicialização).

Desabilitar o SB me levou a uma nova revisão de trabalho, o que, eu acho, significa que o shim está configurado corretamente, mas o sistema não reconhece sua chave assinada? O Wiki e o site de reintegração dizem que eu deveria ser solicitado com a ferramenta MOK, já que Shim, assinado com a chave Microsoft, não é possível encadear (ainda não assinado).

Como eu faço shim chainload MokManager?

EDIT: Eu dei uma olhada no código-fonte Shim e, de fato, parece que, se houvesse erros, shim iria imprimi-los alegremente (o que não acontece). Ele apenas inicializa silenciosamente o Windows.

    
por Massimo Pesavento 05.09.2018 / 23:19

1 resposta

0

Você tem que criar seu MOK e assinar o gerenciador de inicialização com ou obter um par complementar shim + bootloader (como em "bootloader assinado com o certificado que shim era compilado com ") - veja também os excelentes livros de Rod sobre o tema ( Lidando com inicialização segura , Controlando o arranque seguro ), bem como o meu Umu-HOWTO do SecureFIoot se você estiver interessado em ajudar o Arch a obter o shim assinado pelo UEFI CA (== MSFT).

Conseguir uma distribuição Linux que realmente tenha passado por essa dor pode ser bem mais fácil (eu conheço o Fedora, o SUSE, o Ubuntu, ALT e ROSA a partir de hoje, embora possa haver mais).

PS: a resposta exata (mas inútil ) é que o seu shim funciona como previsto. ..

    
por 06.09.2018 / 09:51