DEV Community
·
在Ubuntu 24.04 LTS上管理安全启动密钥
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
安全启动确保计算机仅加载受信任的软件。在Ubuntu 24.04 LTS中,安装未签名内核模块时需注册机器所有者密钥(MOK)。安装后系统会提示创建临时密码,重启后通过MOK管理器完成注册。可用mokutil命令检查安全启动状态和已注册的MOK,若注册失败可重新启动注册或重新安装软件。
🎯
关键要点
- 安全启动确保计算机仅加载受信任的软件,防止恶意软件在操作系统之前加载。
- 在Ubuntu 24.04 LTS中,安装未签名内核模块时需注册机器所有者密钥(MOK)。
- 安装过程中会提示创建临时密码,重启后通过MOK管理器完成注册。
- 可以使用mokutil命令检查安全启动状态和已注册的MOK。
- 若注册失败,可以重新启动注册或重新安装软件。
- MOK注册过程包括触发注册、输入密码、重启和在MOK管理器中确认注册。
- 如果跳过MOKManager屏幕,可以通过命令重新启动MOK注册过程。
- 重新安装软件包可能会重新触发MOK注册提示。
- 可以手动生成和导入新的MOK,适用于需要手动管理密钥的情况。
- 确保系统的UEFI/BIOS设置中启用了安全启动,并保持固件更新。
❓
延伸问答
什么是安全启动,它的作用是什么?
安全启动是一种安全特性,确保计算机仅加载受信任的软件,防止恶意软件在操作系统之前加载。
在Ubuntu 24.04 LTS中如何注册机器所有者密钥(MOK)?
安装未签名内核模块时,系统会提示创建临时密码,重启后通过MOK管理器完成注册。
如何检查安全启动状态和已注册的MOK?
可以使用命令'mokutil --sb-state'检查安全启动状态,使用'mokutil --list-enrolled'列出已注册的MOK。
如果MOK注册失败,我该怎么办?
可以重新启动注册过程或重新安装软件包,使用命令'sudo update-secureboot-policy --enroll-key'来强制重新注册。
如何手动生成和导入新的MOK?
可以使用命令'sudo update-secureboot-policy --new-key'生成新的MOK,使用'sudo mokutil --import /path/to/your/MOK.der'导入特定的MOK文件。
在Ubuntu中,如何确保安全启动功能正常?
确保系统的UEFI/BIOS设置中启用了安全启动,并保持固件更新。
➡️
