武山です
デフォルトでShimを使っているので、カーネルを署名したものにすればOKだよ、 ということなのでしょうか。
いいえ、どの鍵で署名されていても OK であれば、どんな改ざんされたカーネルでも 起動できてしまいます。 先ほどの記事には次のように書かれています:
登録プロセスでは、まずマシンを起動し、shimのロードで(キーを押すなどして) ブートプロセスを中断します。これによってshimが登録モードに移行するので、 ユーザは、デフォルトのSUSEキーをブートパーティションのファイルに含まれる キーに置換できます。 https://www.suse.com/ja-jp/documentation/sles11/book_sle_admin/data/sec_uefi...
ちょっと分かりにくいのですが、ブートパーティションのファイルに含まれる キーというのが、MOK のはずです。 # すみません、セキュアブートな PC を所持していないため、試したことがありません
まぁ、うちで躓いてるマシンは32bit UEFIのCDブート不可(USBdiskのみ) という仕様で対応を諦めているのですが(^^;
USB Live イメージからブートしてインストールではダメでしょうか? ■以下おまけ Asia summit のときのメモによると: $ mokutil --import 鍵? で Shim に MOK を登録できそうな感じです。 OBS でビルドするときは $ osc signkey --create project で、鍵の生成から署名まで全部やってくれるみたいです。 On 2015/05/04 14:29, MASAKI Yuhsuke wrote:
正木です。
このShimとMOKによるセキュアブートへの対応ですが、 記事はカーネルをMOKで署名することについてしか書かれていないように見えます。 デフォルトでShimを使っているので、カーネルを署名したものにすればOKだよ、 ということなのでしょうか。
インストールイメージを対応させるのは容易ならざるを予感がします…
まぁ、うちで躓いてるマシンは32bit UEFIのCDブート不可(USBdiskのみ) という仕様で対応を諦めているのですが(^^;
You wrote:
武山です
今後、セキュアブートを無効にできない PC が増えてくると思いますので、 セキュアブートを正攻法で乗り越える方法で答えてみます。
で、早速、kernel 4.0.1 をビルドし、テストをしようとすると、vmlinuz の署名が不正とかで、boot させて呉れませんでした.この原因は、ググって解りましたが.
ということですので、解決済みかもしれませんが…。
セキュアブートは証明書で署名された(ただし、ルート証明書はMSのしかない) ブートローダーやカーネル以外を起動できなくする仕組みですが、 openSUSE では Shim という署名済のプリブートローダーを使い起動できるようにしています。
Shim を通して起動する場合も、カーネルとブートローダーが *Shim が知っている鍵* で署名されている必要があります。
openSUSE から提供される Grub やカーネルは Shim に登録されている鍵で署名されています。 # 正確に言うと Shim の鍵で署名されている openSUSE の鍵だと思いますが
Shim には PC 所有者の鍵 (MOK: Machine owner's key) を登録することもでき、自分でビルドしたカーネル(や Grub)を起動できます。
セキュアブート(Shim)下で起動するには、次の作業をすればブートできます。 1. ビルドした machine owner key (自分の鍵) で署名する 2. 鍵を shim に取り込む
署名は手作業でもできますし、カーネルのビルドを OBS に任せていれば、 OBS に自分の秘密鍵を取り込んでおくことで、自動で署名してくれるそうです。
昨年の openSUSE.Asia Summit で丁寧な解説がありましたが、 残念ながら、スライドが見当たりません。
この辺を参考にしてみて下さい: https://www.suse.com/ja-jp/documentation/sles11/book_sle_admin/data/sec_uefi... https://en.opensuse.org/openSUSE:UEFI
On 2015/05/03 16:12, 野宮 賢 / NOMIYA Masaru wrote:
野宮です.
HP workstation xw9400 がヘタって来たので、新規パソコン
HP ENVY Phoenix 810-480jp
を購入しました. 連休で時間が取れるので、Windows 8.1 をさっさと削除し、openSUE 12.3 のインストールに挑戦しました.が、DVD を読み込むや否や、
安全なブートの侵害 無効な署名が検出されました。 セットアップで安全なブート ポリシーを調べてください。
という警告が赤い画面で表示されます. ところが、openSUSE 13.2 のインストールは出来ました. で、早速、kernel 4.0.1 をビルドし、テストをしようとすると、vmlinuz の署名が不正とかで、boot させて呉れませんでした.この原因は、ググって解りましたが.
ここで、YaST2 のブートの設定画面で「secure boot」のチェックを外し、再起動したところ、また、
安全なブートの侵害 無効な署名が検出されました。 セットアップで安全なブート ポリシーを調べてください。
が表示されました.「secure boot」を外すと、こうなるものなのでしょうか?
これは、パソコンがおかしい兆候でしょうか?
宜しくお願いします.
--- ┏━━┓彡 野宮 賢 mail-to: nomiya @ galaxy.dti.ne.jp ┃\/彡 ┗━━┛ 「eメールや携帯電話に縛られた社会は、自分自身と向き合ったり、 空想にふけったりする自由を奪う。」 -- M. Crichton --
-- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org
****************************** * The Rider, Hacker and Musician. * +++ ENABLE YOUR HEART +++ ****************************** * MASAKI Yuhsuke. * hydrangea@reasonset.net * Website: http://reasonset.net/ * GitHub : https://github.com/reasonset/ * Twitter: @reasonset ******************************
-- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org