无忧启动论坛

标题: GRUB2签名过secure boot？怎么操作？ [打印本页]

作者: tdqk003 时间: 2016-12-30 21:22
标题: GRUB2签名过secure boot？怎么操作？
请问各位大师grub2要怎么签名才能过secure boot，麻烦大师指点指点非常感谢

作者: 求道者 时间: 2016-12-30 22:03
需要微软的签名自己的签名没啥用

作者: 永远的大象 时间: 2016-12-30 22:58
本帖最后由永远的大象于 2016-12-31 01:55 编辑

如果BIOS可以自己导入证书的话，自己弄个证书，从BIOS导入，然后用你这个证书签名的，就可以过 Secure Boot 了。
当然，只限你这机器

参考论坛上另一个帖子：可以通过Secure Boot的GRUB2

作者: parsons 时间: 2016-12-31 09:21
本帖最后由 parsons 于 2016-12-31 09:28 编辑

不想付 99元美金給微軟签名你的啟動器
http://www.codon.org.uk/~mjg59/shim-signed/
進上面網站下載shim.efi及MokManager.efi , 將你的grub2签名 :
shim-signed-0.2.tgz 01-Dec-2012 01:26 789K

shim-signed.7z (425.9 KB, 下载次数: 46)

shim.efi 及 MokManager.efi 的使用說明:
https://mjg59.dreamwidth.org/20303.html

我沒用過 , 正在研究中 , 不保證安全
目前是直接使用 fatdog64 的 grub2 來 secure boot

作者: tdqk003 时间: 2016-12-31 17:30

parsons 发表于 2016-12-31 09:21
不想付 99元美金給微軟签名你的啟動器
http://www.codon.org.uk/~mjg59/shim-signed/
進上面網站下載shim ...

非常感谢大师的帮忙，我试试

作者: parsons 时间: 2017-1-1 00:27
本帖最后由 parsons 于 2017-1-1 16:05 编辑

另一簡單GRUB2签名方法:
來源:
http://www.rodsbooks.com/refind/secureboot.html

電腦 BIOS 設定成純 UEFI 啟動 , 將 SecureBoot 打開(enable)
將 USB 格成 MBR FAT32 , 使用 bootice 將主引導設成 [Windows NT 6.x MBR] , 分區引導設成 [BOOTMGR] , 分區管裡設成 [激活]
將 Grub2SecureBoot.7z 解壓到 USB (其中 loader.EFI=Grub2.efi , bootx64.efi=PreLoader.efi)
重新啟動電腦 , 從 USB 開機 , 進行 loader.EFI 签名動作 , 如果順利完成 , 以後純 UEFI 啟動開機將自動進入Grub2 菜單

Grub2SecureBoot.7z (1.28 MB, 下载次数: 109)

還沒找到取消GRUB2签名方法
目前只知需將 BIOS 重刷一次

作者: rkr077 时间: 2017-3-21 13:59
Ubuntu的grub-install会随机的给GRUB签名，你要花99美金买个微软的签名才行。然后就是shim，shim用的是MOK，只有带正确MOK签名的GRUB2才能被shim加载，到GRUB2阶段，linuxefi和initrd只能加载带有正确MOK的内核文件。可以用MokManager.efi导入MOK。

作者: rkr077 时间: 2017-3-21 14:00
SecureBoot，到了内核阶段也只能加载带MOK的第三方内核模块

作者: rkr077 时间: 2017-3-21 14:05
http://rkr077.blog.163.com/blog/static/2685220052016111711549385/

欢迎光临无忧启动论坛 (http://wuyou.net./)