Existe-t-il un moyen d'activer le démarrage sécurisé sous Linux?

Tout comme Windows a un démarrage sécurisé qui empêche tout code de chargeur de système d'exploitation externe de s'exécuter au démarrage, Linux a-t-il une option similaire pour lui-même? J'ai regardé autour de moi, mais lorsque je recherche, les seuls résultats que j'obtiens sont comment installer Linux sur une machine Windows compatible UEFI. Je ne trouve pas comment apporter cette option à ma machine Linux.

Pour que le démarrage sécurisé fonctionne, votre matériel doit prendre en charge le démarrage sécurisé et votre système d'exploitation doit prendre en charge le démarrage sécurisé.

Pour HW, vous pouvez vérifier dans les menus de configuration UEFI et vous devez ajouter les certificats / clés fournis par le système d'exploitation

Pour OS, vous pouvez vérifier le support en suivant les commandes:

[root@secureboot-guest ~]# cat /sys/kernel/security/securelevel 

Si la sortie de la commande ci-dessus est "1", le démarrage sécurisé est pris en charge et activé par votre système d'exploitation.

Tout d'abord: générer sa propre clé

openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 \
       -subj "/ CN = Kernel Key" -outform DER -out kernel.der \
       -keyout kernel.key

Essayez de compiler le noyau linux avec CONFIG_EFI_STUB et d'y intégrer des initramfs comme décrit ici: https://prosauce.org/blog/2015/10/31/booting-linux-securely , pour signer des modules que vous pouvez utiliser le script suivant:

/ usr / src / linux-headers - $ (uname -r) / scripts / sign-file sha256 kernel.key kernel.der module.ko

Ensuite, créez un fichier avec le noyau cmdline pour votre ordinateur portable \ poste de travail, et créez une image et copiez-la dans le répertoire de démarrage efi comme ceci:

# objcopy \
  --add-section .osrel = / etc / os-release --change-section-vma .osrel = 0x20000 \
  --add-section .cmdline = / tmp / cmdline --change-section-vma .cmdline = 0x30000 \
  --add-section .linux = / boot / vmlinuz --change-section-vma .linux = 0x2000000 \
  --add-section .initrd = / boot / initrd.img --change-section-vma .initrd = 0x3000000 \
/usr/lib/systemd/boot/efi/linuxx64.efi.stub linux.efi

# mkdir -p / boot / efi / EFI / BOOT

# sbsign --key /root/keys/ISK.key --cert /root/keys/ISK.pem --output /boot/efi/EFI/BOOT/BOOTX64.EFI linux.efi / boot / efi / EFI / BOOT /BOOTX64.EFI

Pour installer votre propre clé dans le firmware MB, vous pouvez faire des cmds comme ceci:

openssl x509 -inform der -in kernel.der -outform pem -out kernel.pem
cert-to-efi-sig-list -g "$ (uuidgen)" kernel.pem kernel.esl
sign-efi-sig-list -k KEK.key -c KEK.pem kernel kernel.esl kernel.auth

Le démarrage sécurisé AFAIK est une fonctionnalité UEFI développée par Microsoft et d'autres sociétés qui forment le consortium UEFI.

UEFI est partiellement appliqué par le matériel, c'est-à-dire que la configuration de votre carte mère peut / peut ne pas gêner. Si vous utilisez un UEFI complet, il est probable que vous pourrez activer le démarrage sécurisé à partir du menu UEFI lui-même.

Cependant, si votre firmware est UEFI avec CSM / BIOS, vous pouvez rencontrer certains obstacles tels que l'option permettant d'activer le démarrage sécurisé en grisé et tout.