Linux Mint 20.1をインストールすると、初めて再起動した後に[MOK登録]ダイアログボックスが表示されます。これは何のためですか(セキュアブート)?

Linux Mint 20.1をインストールすると、初めて再起動した後に[MOK登録]ダイアログボックスが表示されます。これは何のためですか(セキュアブート)?

私はデュアルブートラップトップWindows 10 / Linux mint 20を持っています。セキュアブートとハードドライブ暗号化が有効になっていますが、後者はこの問題にとって重要ではない可能性があります。

しかし、私の問題は次のように非常に似ています。https://forums.linuxmint.com/viewtopic.php?t=274365

Windowsをインストールし、Linux Mintをインストールしました。 Mintをインストールした後、コンピュータが再起動し、「継続起動」または「MOK登録」の入力を求められます。どうすればいいのか分からず、他のノートパソコンを使ってオンラインで検索をしました。検索中にダイアログボックスがタイムアウトし、コンピュータが起動し続けます。ノートブックは、最新のBIOSでアップデートされたDell Vostro 5581です。

同じ日、後でOracle Webサイト(ストアではない)にVirtualboxをインストールしました。コンソールでテキストモードのインストール中に、次の再起動時にMOKを登録することを確認し、一時パスワードを入力するように求められました。私は再起動し、MOKを登録しました。 (ところで私が何をしているのか分からない)

私の質問はこんな感じです。これらすべてのセキュアブート機能は私にとって非常に新しいものです。

  1. ミントを初めてインストールして再起動すると、最初に表示される「継続起動」または「MOK登録」ダイアログボックスは何ですか?これは、オペレーティングシステムが起動する前に発生します。私の考えでは、これがBIOSの問題のようです。ただキーを実行または登録すると問題にならないようです。 Linuxを2回インストールしましたが、最初はキー登録を選択しましたが、2番目は無視しました。違いはないようです。

  2. MOKキーを登録すると、何も尋ねずにVirtualboxがインストールされますか? VirtualBoxが独自のキーを登録するときに正確に何をしますか?

  3. システムをインストールして構成した後、再インストールしたくありません。 「MOK登録」はどうすればいいですか?フォーラムの他の質問(上記のリンクを参照)に回答があります。

私も同じ問題があります。新しいMOKパスワードを設定するには、次のコマンドを使用しました。

sudo update-secureboot-policy --enroll-key

しかし、私のインストールにはそのようなコマンドはありませんupdate-secureboot-policy

  1. 今、私はMOKが登録されておらず、動作しないと思う独自のNVidiaドライバをインストールするのが怖いです。

  2. 通常、最初の再起動後に「MOK登録」は何をしますか?本当に理解できません。これは、いくつかのUbuntuキーをBIOSに入れるという意味ですか?これは、後で私がインストールするすべての排他的なカーネルモジュールが独自のMOKを登録せずにスムーズに進行することを意味しますか?

答え1

1.初めてミントをインストールして再起動したときに表示される初期の「スタートアップ」または「MOK登録」ダイアログボックスは何ですか?

これはshimx64.efi、オペレーティングシステムにアクセスできるUEFI NVRAM変数にインストール待機中の新しいMOKがあることを検出したときに生成されます。

2. MOK キーを登録すると、別途要求せずに Virtualbox がインストールされますか?

おそらくそうです。

2.5。自分のキーを登録するとき、VirtualBoxは正確に何をしますか?

使用可能な場合にのみupdate-secureboot-policy --enroll-keyトリガーできます。

3. システムをインストールして構成しましたが、再インストールしたくありません。今「MOKを登録」するにはどうすればよいですか?

sudo apt install shim-signed
sudo update-secureboot-policy --enroll-key

4. これで、MOKが登録されておらず、動作しないのではないかと心配されているので、独自のNVidiaドライバをインストールするのが怖いです。

技術的には問題になりませんが、心配しないでください。 Ubuntu / Mintのサードパーティ製ドライバ管理ツールを使用してNVidiaドライバをインストールした場合は、上記の3.に記載されている手順のみを実行できます(まだ実行していない場合)。

NVidiaから直接ダウンロードしたインストールパッケージを使用する場合は、dkmsまずサードパーティ製のモジュール管理ツールをインストールしてから、NVidiaドライバインストーラを実行してください。

sudo apt install dkms

sudo ./NVIDIA-Linux-x86_64-<version number>.run --dkms \
    --module-signing-secret-key=/var/lib/shim-signed/mok/MOK.priv \
    --module-signing-public-key=/var/lib/shim-signed/mok/MOK.der

dkmsサードパーティのカーネルモジュール(NVidiaドライバなど)を自動的に再構築するので、カーネルセキュリティアップデートを受け取るたびに手動で再構築する必要はありません。

5. 通常、最初の再起動後に「MOK登録」は何をしますか?

次回の再起動時に実行後すぐに「MOK登録」を実行しないと、次のいずれかの操作が行われるupdate-secureboot-policy --enroll-keyまで登録プロセスが一時停止されます。終わる以降の実行時に「MOK登録」を選択するか、キャンセルsudo mokutil --revoke-importLinux内で。

MOK登録プロセスが完了した後は、古いMOKを紛失し、新しいMOKを登録しない限り、このメッセージは再表示されません。

5.1.これはいくつかのUbuntuキーをBIOSに入れるという意味ですか?

いいえ、登録中に一意のキーが生成されます。あなたのカーネルモジュールのインストールプロセスで使用できるようにルートのみがアクセスできる場所に配置し、起動時に使用できるようにキーの公開部分の/var/lib/shim-signed/mok/コピーをUEFI NVRAM変数に登録します。shimx64.efi

5.2。これは、私がインストールするすべての将来の排他的なカーネルモジュールが、独自のMOKを登録せずにスムーズに動作することを意味しますか?

その考えですよね。残念ながら、すべてのサードパーティのカーネルモジュールソースパッケージは、MOKの存在をシームレスに検出し、必要に応じて自動的に使用するように更新されていません。

答え2

私のインストールにはupdate-secureboot-policyコマンドはありません。

私のUbuntuシステムでは、このコマンドはshim-signedパッケージにあります。

関連情報