セキュアブートとネックパスワード

セキュアブートとネックパスワード

この記事でVernonBが説明したのと同じ問題が発生しました。LinuxでMOKを使用する方法は? セキュアブートも無効にしました。しかし、UbuntuとNvidiaドライバを再インストールすると、今後このmokパスワードに問題が発生するかどうかを知りたいです。

答え1

セキュアブートを無効にするのはファームウェア設定です(セキュアブートを使用するすべてのシステムには従来のBIOSではなくUEFIがありますが、「BIOS設定」)。

したがって、ファームウェア設定をリセット(以前の名前:「CMOSリセット」)またはシステムファームウェアアップデート(「BIOSアップデート」)を実行し、アップデートがファームウェア設定を再度有効にしない限り、セキュアブートは無効にしておく必要があります。

オペレーティングシステムまたはNvidiaドライバを再インストールしても、セキュアブート状態には影響しません。


「MOKパスワード」はよく誤解されるようです。

システムでセキュアブートが有効になっていると、Ubuntuはセキュアブート用のマシン所有者キー(MOK)を自動的に作成して登録します。登録プロセスはオペレーティングシステムの実行中に開始できますが、登録プロセスでは、MOKを登録するコマンドがユーザーであるかのように偽装するプログラムではなく、実際にユーザーから来ていることを確認する必要があるため、完了できません。

したがって、UbuntuがMOKを生成したときにMOK登録プロセスを完了するには、ワンタイムパスワードを設定する必要があります。次回起動すると、Secure Bootは最初にshimx64.efiSecure BootローダーでMicrosoft署名を確認し、次にshimx64.efiMOK登録プロセスが開始されたかどうかを検出します。起動プロセスが中断され、青いMOKマネージャ画面が表示されます。 MOK登録プロセスを完了することを選択した場合は、再起動する前に設定したパスワードを入力するように求められます。プロセス。

その後、「MOKパスワード」は不要になり、対応する作業が完了します。何らかの理由でシステムファームウェア設定をリセットしてMOKが失われた場合は、最初からMOK登録プロセスを再実行する必要があります。


実際のMOKは/var/lib/shim-signed/mok/作成後にディレクトリに配置されます。これは2つの部分で構成される暗号化キーです。公開部分とも呼ばれる資格MOK.der、ファイルになります。システムファームウェアに登録される部分です。 DER形式のX.509証明書を処理できるコマンドを使用すると、人間が読める形式で表示できます。たとえば、次のようになります。

sudo openssl x509 -inform DER -in /var/lib/shim-signed/mok/MOK.der -noout -text

個人的な部分は次のとおりです。ただこのMOK.privファイルはルートのみ読み取ることができます。セキュアブートが有効になると、他のカーネルお​​よびモジュール管理ツールは必要に応じて自動的にこのファイルを使用して、インストールdkmsプロセスの一部としてNvidiaドライバモジュールに署名します。

関連情報