Dyskusje i raporty o UEFI i Bezpiecznym rozruchu pojawiły się w wielu kręgach Linuksa, ale czy ktoś może podsumować jego wpływ na Ubuntu i jego wpływ na użytkowników?
Wiem, że UEFI i Secure Boot są oddzielne (niewymienne), a Secure Boot jest częścią specyfikacji Unified Extensible Firmware Interface BIOS .
PS Wiem, jak to wpływa na Ubuntu, to pytanie jest na korzyść wiedzy publicznej.
Aby naprawdę zrozumieć, jak wpływa na użytkowników i Ubuntu, myślę, że warto zrozumieć, czym jest UEFI i co się zmienia. Następnie omów funkcje bezpiecznego rozruchu i jego wpływ na instalacje:
UEFI to specyfikacja definiująca interfejs oprogramowania między systemem operacyjnym a oprogramowaniem układowym
Jest przeznaczony do zastąpienia systemu BIOS. BIOS jest stary i został zaprojektowany dla starszego sprzętu. Może obsługiwać tylko 16-bitowy tryb procesora, tylko 1 MB miejsca adresowalnego, tylko rozruch z maksymalnie 2 TB napędu, 4 partycje itp. DOS i starsze systemy operacyjne polegały na BIOSie dla podstawowych operacji we / wy ... ale ważność programów ładujących rozruch po uruchomieniu systemu operacyjnego jest dziś znacznie zmniejszona. Zdaj sobie sprawę, że wiele osób nadal będzie odnosić się do UEFI jako BIOS.
Niektóre główne zmiany w UEFI to:
Architektura niezależna od procesorów i sterowniki
Możliwości sieciowe przed załadowaniem systemu operacyjnego.
Ponieważ UEFI może być 64-bitowy, pozwala on na odczyt całej pamięci, którą może rozwiązać 64-bitowy komputer
tablica partycji GUID zamiast MBR, która pozwala na więcej niż 4 partycje i ponad 2 TB z napędu rozruchowego (8ZiB)
zapewnia opcje środowiska wykonawczego dla systemu operacyjnego, takie jak uzyskiwanie dostępu do daty / godziny / NVRAM
UEFI pozwala na SECUREBOOT:
Bezpieczny rozruch zapobiega ładowaniu sterowników i programów ładujących system operacyjny przez oprogramowanie układowe, chyba że są podpisane cyfrowym podpisem zapisanym w oprogramowaniu układowym. Może to być bardzo przydatne do zatrzymywania rootkitów. Możesz dodać więcej kluczy, aby umożliwić działanie innego oprogramowania w trybie „Niestandardowym”.
Biorąc to pod uwagę, możesz przeczytać wiele ograniczeń na temat Bezpiecznego rozruchu, sposobu, w jaki można go użyć, aby umożliwić dominację systemu w jednym systemie operacyjnym itp. Z tego powodu Windows 8 wymagał, aby SecureBoot mógł wejść w tryb niestandardowy lub zostać wyłączony w systemie Windows 8 certyfikowanych. Po wyłączeniu tracisz wszystkie zalety bezpiecznego rozruchu, ale nadal możesz używać UEFI. Dzięki niemu w trybie niestandardowym możesz dodawać klucze publiczne, które nie pasują do klucza prywatnego w systemie, aby inne oprogramowanie mogło działać oprócz tych tylko z kluczem prywatnym
Dla Ubuntu
Jeśli instalujesz Ubuntu, jeśli twój system jest ustawiony na uruchomienie w UEFI, zostanie zainstalowany jako EFI.
Począwszy od systemu Ubuntu 12.10, obsługuje on bezpieczny rozruch
Jeśli dodajesz Ubuntu jako drugi system operacyjny, ważne jest, aby mieć ten sam typ systemu operacyjnego co program ładujący (tj. 64-bitowy lub 32-bitowy). Więc jeśli masz 64-bitowy system Windows i uruchamiasz UEFI, powinieneś wybrać 64-bitowy Ubuntu. Jeśli tego nie zrobisz, nie zostanie załadowane. Próbowałem uruchomić UEFI z 32-bitowym Ubuntu (13.10) i nawet nie mogłem go odczytać z USB, dopóki nie wyłączyłem UEFI. Zainstalowałem wersję 32-bitową z wyłączoną funkcją. Kiedy zdałem sobie sprawę z mojego błędu, ponownie załadowałem 64-bitowy system Ubuntu do klucza, włączyłem UEFI i świetnie go wykryłem. Następnie przeinstalowałem.
Korzystanie z UEFI pozwala mieć wiele partycji podstawowych podczas instalacji, więc nie martw się o przewodniki, które zmuszą Cię do rozpoczęcia korzystania z logiki po posiadaniu 4 partycji.
Wszystko jeszcze nie jest idealne. Na przykład GRUB ma problem z uruchomieniem systemu Windows 8 z bezpiecznym uruchomieniem. Mogę najpierw uruchomić komputer z dysku Windows, działa dobrze. Mogę najpierw załadować GRUB i dobrze uruchomić Ubuntu pod bezpiecznym uruchomieniem. Ale gdy GRUB się załaduje, nie załaduje Windows 8 z bezpiecznym uruchomieniem. Oto dobra strona na ten temat, a na dole jest raport o błędzie, który został potwierdzony: http://falstaff.agner.ch/2012/12/18/ubuntu-12-10-and-windows-8-with -secure-boot-mode /
Jeremy Kerr przeprowadził na sesji plenarnej na ten temat. Prezentacja została oparta na dokumencie, którego współautorem jest Matthew Garrett i James Bottomley. Możesz znaleźć ten dokument tutaj .
Moje dwa centy to to, że jest to system do weryfikacji, czy oprogramowanie używane do rozruchu komputera zostało podpisane przy użyciu autoryzowanego podpisu dostępnego w wewnętrznej bazie danych. Nie jest to niebezpieczne, o ile istnieje możliwość edycji bazy ważnych podpisów. Wydaje się jednak, że duży gracz w branży chce, aby producenci OEM umieszczali tylko jedną sygnaturę w bazie danych i nie ma możliwości jej aktualizacji, a to jest duży problem, ponieważ żaden inny system operacyjny nie byłby w stanie uruchomić się na sprzęcie, na którym zastosowano te ograniczenia.