Adicione o DB EFI do Ubuntu EFI de volta ao UEFI

1

Eu reiniciei meu BIOS e agora meu disco Ubuntu 16.04 não vai ser reservado porque ele não consegue encontrar as chaves de inicialização segura do Ubuntu. Como posso adicioná-los de volta ao meu UEFI para que ele seja inicializado?

Quando tento inicializar, recebo uma mensagem: "Assinatura inválida detectada. Verifique a Política de Inicialização Segura na Configuração"

    
por Brady Dean 13.06.2016 / 21:29

1 resposta

3

Primeiro, o binário Shim do Ubuntu inclui uma cópia da chave pública da Canonical (Ubuntu) embutida nele, e este binário é assinado pela Microsoft, portanto, deve ser possível inicializar sem a chave Canonical em seu firmware. Dito isso, você pode se deparar com o problema que descreve se estiver usando outro binário do Shim - por exemplo, se estiver inicializando duas vezes com o Fedora e estiver usando o Shim do Fedora para iniciar o processo de inicialização. (Além disso, veja o final desta resposta ....)

Nesse caso, você deve poder usar a ferramenta MokManager para adicionar a chave da Canonical à lista MOK, que o Shim irá ler. O MokManager deve estar na Partição do Sistema EFI (ESP) do seu disco, juntamente com o binário Shim. Idealmente, o MokManager deve ser uma opção em qualquer GRUB ou outro menu gerenciador de inicialização que você vê quando inicializa. Caso contrário, você pode ajustar o arquivo /boot/grub/grub.cfg para adicionar uma entrada, que deve ficar assim:

menuentry "MokManager" {
    insmod part_gpt
    insmod chain
    set root='(hd0,gpt1)'
    chainloader /EFI/fedora/MokManager.efi
}

Você precisará ajustar essa entrada para o seu sistema em particular. Em particular, a opção set root deve apontar para o seu ESP, que pode ou não ser (hd0,gpt1) ; e o caminho para o MokManager pode ser algo diferente do que eu especifiquei. (Estou mostrando um caminho do Fedora como exemplo. Note que você deve apontar para o binário MokManager que vem com o binário Shim que você está usando.)

Existem algumas outras opções disponíveis para você:

  1. Você pode desabilitar totalmente o Secure Boot. Essa é a abordagem mais fácil, mas o Secure Boot existe para melhorar a segurança, portanto, não recomendo isso como uma regra geral, especialmente se você estiver com a inicialização dupla no Windows. Detalhes de como desativá-lo variam muito de um sistema para outro. Eu apresento vários exemplos em esta página minha.
  2. Você pode assumir o controle total do Secure Boot e adicionar a chave pública da Canonical ao seu firmware, conforme descrito em esta página minha. Esta abordagem é para aqueles com "credos de rua geek" significativos; é tecnicamente desafiador e até mesmo as pessoas que se sentem à vontade com as ferramentas de linha de comando tendem a se debater um pouco. Eu menciono essa abordagem principalmente porque o título da sua pergunta se refere ao PK e ao db, que são chaves armazenadas dessa maneira. A abordagem padrão da Canonical ao Secure Boot não envolve a modificação dessas chaves, mas essas variáveis são ajustadas quando você assume o controle total do Secure Boot. Se você fez isso antes, talvez tudo que você precise seja um ponteiro para a documentação relevante, então é isso ...
por Rod Smith 16.06.2016 / 15:36