當前位置: 首頁>>技術教程>>正文


如何理解 Ubuntu UEFI 安全啟動安裝?

, , ,

問題描述

既然支持安全啟動,那麽在 Windows 8 附帶的支持 UEFI 安全啟動的 PC 上安裝 Ubuntu 需要遵循哪些特殊說明?

據我了解,Ubuntu >= 12.04.2 附帶簽名的 GRUB2。我搜索但無法通過 “supported” 語句。我正在尋找有關注冊 Ubuntu 密鑰以讓固件啟動 Ubuntu 的具體說明。

更新:

謝謝。 SecureBoot in Ubuntu 12.10 給了我答案。 Ubuntu first-stage EFI 引導加載程序由 Microsoft 簽名。我上次閱讀時,Ubuntu 計劃發布自己的密鑰,在安裝之前必須在固件數據庫中注冊。可能是我沒有跟蹤這個故事足夠長的時間來意識到它不再是這種情況了。

最佳答案

可能從這裏開始:help.ubuntu.com/community/UEFI

UEFI (~EFI) 是一種在最近的計算機上普遍使用的固件接口,尤其是那些比 2010 年更新的計算機。它旨在取代在早期計算機上普遍存在的傳統 BIOS 固件接口。本頁提供有關使用 EFI 安裝和引導 Ubuntu 以及使用 Ubuntu 在 EFI 模式和舊版 BIOS 模式之間切換的信息。


更新:

Ubuntu 12.10 旨在能夠與安全啟動一起使用。

Softpedia (Sep-2012) >> Canonical Unveils Plans for Ubuntu 12.10 Secure Boot

\\n

Canonical, through Jon Melamut, announced on September 20th that they will plan to implement support for Secure Boot in the upcoming Ubuntu\\n 12.10 (Quantal Quetzal) operating system.

\\n

Therefore, after a discussion with Free Software Foundation, Canonical decided to drop the EFILinux bootloader implementation in\\n favor of the GRUB2 bootloader one, signed with their own keys. ..

\\n

Muktware (Oct-2012) >> SecureBoot In Ubuntu 12.10

\\n

Ubuntu 12.10 is the first distro that supports the Secure Boot architecture by default. Canonical developers have spent a huge amount\\n of time making sure that Ubuntu runs fine and without problems in all\\n hardware. Steve Langasek, an Ubuntu developer has put forward a nice\\n account in his blog, regarding how they are making Secure Boot\\n supported.

\\n

以 .. 結束

\\n

Langasek says that they will backport the secure boot mechanism to Ubuntu 12.04 release as well, so that the LTS version can be installed\\n in Secure Boot devices. So the next major service pack of Ubuntu\\n Precise (12.04.2) will include support for SecureBoot.

\\n

次佳答案

某些機器(尤其是筆記本電腦)存在問題 – 它們似乎沒有在其 BIOS 中安裝“Microsoft Windows UEFI Driver Publisher”公鑰,以允許簽名的 Ubuntu 引導加載程序(以及我們的其他 UEFI 軟件)運行啟用安全啟動選項。這與 Microsoft 用來簽署他們自己的 UEFI Windows 引導管理器的密鑰不同,並且似乎某些 BIOS 實現隻有這個 Microsoft 專有公鑰。

解決方案是:

  1. 讓 Microsoft 使用與用於自己的引導加載程序相同的密鑰對第三方 UEFI 二進製文件進行簽名。

  2. BIOS 供應商/計算機硬件主板製造商確保他們包含數據以允許“Microsoft Windows UEFI Driver Publisher”簽名的二進製文件正常工作。

在 Windows 8 計算機上,在管理員提升的命令提示符框中輸入 Mountvol Z: /S。然後在命令提示符下執行:

copy Z:\EFI\Microsoft\*.efi    C:\test

其中 Z 是未使用的驅動器號。

然後,您可以簽入(已創建)C:\\test 文件夾中 Microsoft .efi 文件上的數字簽名,並查看密鑰的名稱與他們用於簽署 Ubuntu 引導加載程序的密鑰不同。

Ubuntu 引導文件可以在 X:\\EFI\\Boot 中找到,其中 X 是 CD 驅動器盤符。

這需要整理,快速整理。

我們的研究表明,到目前為止測試的筆記本電腦中,隻有華碩筆記本電腦的 bios 中安裝了正確的密鑰,但我們還沒有設法檢查每個人。我在這裏沒有提到不能工作的機器的名稱,但其中一個名稱與可以工作的機器名稱相似!

參考資料

本文由Ubuntu問答整理, 博文地址: https://ubuntuqa.com/zh-tw/article/13137.html,未經允許,請勿轉載。