簡単に言うと、セキュアブートを無効のままにしておくのは本当に安全なアイデアですか?
LinuxMint、Xuntu、Ubuntu 14&5 Win 10、Win 8.1を搭載した2台のラップトップがあります。 Grub 2は、/、/ bootおよび/ homeパーティションで正常に動作します。これにはすべて、Lenovoでレガシーブートが有効になっている(ただしUEFIが優先されている)状態で、多くの再インストールとBIOSの操作が必要でした。
Windowsが優先ブートとして自身を再アサートし続けるため、BIOSに戻る必要がある場合でも、セットアップが気に入っています。
私の質問は、マルウェア、ハッカーのエクスプロイト、およびルートキットやランサムウェアなどの新しい形態の攻撃の出現の脅威に関連しています。
セキュアブートを再度有効にして、ワームの缶を開くことを考えてうめきます。しかし、おそらく-それは実験を開始してセキュアブートで起動できるかどうかを確認するための予防手段として現在、次のマルウェアの波がセキュアになった私たちのものを利用する前のONモードブートオフ。装甲を開始し、署名されたOSの起動を要求する時間ですまたはそれをオフのままにしておいても安全ですそして、世界中で増殖していると思われるエクスプロイトにチャンスを取りますか?
注:両方とも同じMS準拠のBIOS InsydeまたはHP 2000 Pentium 4 GBラムのようなものを使用します
あなたの質問は、「安全な」慣行や「安全でない」慣行などがあるという誤った前提に基づいています。ありません。安全性の尺度は相対的のみです-プラクティスAはより安全かもしれません練習Bよりも、練習Aを「安全」と呼ぶことは、せいぜい誤解を招くだけです。
そのことを念頭に置いて、名前が示すとおり、セキュアブートは安全性を高めるように設計されています。これを行うことの有効性については議論できますが、非常に懐疑的であっても、セキュアブートをアクティブ化しても安全性が低下する可能性は低く、アクティブ化することには少なくとも理論上の利点があります。
Ubuntuは、OSがセキュアブートを有効にしてブートできるように、署名されたShimプログラムが同梱されているという意味で、セキュアブートをサポートしています。ダグが指摘するように、UbuntuのGRUBは署名されていないカーネルを起動しますが、それはセキュリティへの唯一の可能な脅威です。セキュアブートが無効になっているコンピューターは、古いEFIバイナリを起動します。GRUBまたはLinuxカーネル。このようなバイナリは悪意がある可能性があるため、ブートプロセスの一部として誰かがコンピューターにインストールすると、ブートごとにメガバイトのランダムデータをディスク上のランダムセクターに書き込むプログラムが発生し、問題が発生します。このようなプログラムは、GRUBまたはLinuxカーネルに依存する必要はありません。スタンドアロンのEFIアプリケーションでもかまいません。セキュアブートは、このような悪意のあるプログラムをブロックする可能性が少なくともあります。
16.04で議論されているGRUBの変更により、UbuntuはFedoraのように動作するようになります。その変更により、UbuntuのGRUBは署名なしのLinuxカーネルのみを起動します。 Ubuntuはすでに署名済みのカーネルを出荷しているため、ローカルでコンパイルされた独自のカーネルを使用している場合を除き、Ubuntuを起動することは難しくありません。いずれの場合でも、セキュアブートを有効にすると、Shimを使用してGRUBを起動する必要があり、Ubuntuには適切なShimバイナリが付属しています。この変更は、セキュアブートと同様に、安全性を高めますが、絶対的な意味でUbuntuを「安全」にすることはありません。
実際問題として、EFIプリブートマルウェアがどれほど一般的かはわかりません。このようなツールはBIOSには確かに存在し、EFIのデモンストレーションプログラムのことは聞いたことがありますが、それらが一般的なものであるかどうかはわかりません。しかし、たとえ今日は珍しいとしても、明日は一般的になる可能性があるため、自分を守ることは理にかなっています。この保護には多くの形式がありますが、それだけでは十分ではありません。セキュアブートは、ウイルススキャナー、ファイアウォール、適切なアカウントセキュリティ慣行などと同様に、その保護の一部となります。
セキュアブートシステムが機能しているシステムにUbuntuを適切にインストールする場合、セキュアブートがアクティブであることさえ気付かないはずです-少なくとも、独自のカーネルをコンパイルするかブートプログラムを使用するようなことをしない限り、またはするまではGRUB以外。 BIOS/CSM /レガシーサポートを有効にするために「BIOS」(本当にEFI)の設定を調整しなければならなかったというコメントは、壊れたEFIを持っているか、苦労したことを示唆しています。 (まだ非常に悪いEFIインストールアドバイスを提供するページがたくさんあります。)私自身 セキュアブートのWebページ は、使用方法(または無効にする方法)に関する背景情報と実用的なアドバイスを提供します。一般的なEFIモードブートの背景情報については、 EFIモードLinuxインストールのマイページ および EFIの仕組みに関するAdam Williamsonのブログ投稿 をお読みください。適切に理解すれば、セキュアブートがアクティブな状態でのEFIモードブートの処理は難しくありません。