web-dev-qa-db-ja.com

LinuxのMOKは正確には何のためのものですか?

Nvidiaドライバーをインストールすると、MOKパスワードを設定するように促されました。そうしないと、サードパーティのドライバーが正しく機能しない可能性があるため、作成しました。再起動後、いくつかのオプションが含まれた青いMOK管理画面が表示されました。最初の画面は起動を継続しています。だから私はこれを選びました、そして、ブートが終わったとき、私の第二のモニターは認識されていませんでした。最初にMOKについてプロンプトが表示されたときにセキュアブートについて何かを読んだことを思い出して、BIOSを起動してセキュアブートをオフにしました。これで、セカンドスクリーンが戻りました。いくつかの質問が思い浮かびます。

  1. まず、MOKとは何ですか。
  2. 必要ですか、必要でない場合はどうすれば削除できますか?
  3. NvidiaドライバーのインストールまたはMOKのセットアップが原因で、2番目の画面が認識されなくなりましたか?
  4. セキュアブートをオフのままにすることはできますか?

助けてくれてありがとう!

2
VernonB

ad 1)

MOK(マシンオーナーキー)は、承認されたOSコンポーネントとドライバーの実行のみを許可することで、ブートプロセスを保護することを目的としています。 MOKは、 "BIOS"またはコンピューター内のスタートアップコードによって実装する必要があります。

主な考え方は、署名されたコードだけがオペレーティングシステム(OS)の読み込み中に実行できるということです。ブートすると、OSがBIOSからシステムを保護する責任を引き継ぐことができます。

MOKシステムは公開キー暗号化を使用します。つまり、キーペアを作成し、実行が許可されているすべてのコンポーネントに秘密/秘密キーで署名できます。これにはGRUBブートローダー自体が含まれます。次に、BIOSは公開鍵を使用して(インストールする必要があります)、コードを実行する前に署名をチェックします。

ここにセキュアブートとMOKに関するドキュメントがあります

MOKの優れた点は、私の個人的な見解では、自分でキーを作成し、信頼できるコンポーネントに署名できることです。以前は、EFI BIOSにはMicrosoftの公開鍵しかインストールされておらず、Linuxブートローダーに署名することをためらっていました:-)これが、過去にSHIMが必要だった理由です(EFI BIOSとGRUBの中間)。

すべてのセキュアブート方法は、マルウェアによって改ざんされていないクリーンブートシステムを保証することにより、ハッカーやウイルスからシステムを保護することを期待しています。スタートアップコードまたはドライバーが改ざんされている場合は、それが検出されるため、適切に対処できます。

カイル・ランキンは、Libremシリーズのラップトップの起動プロセスを保護するために多くの作業を行いました これは彼の作業に関する良い記事です 。私はそれがあなたのシステムに直接適用できないとしても、読む価値があると信じています-考えはまったく同じです。

ad 2)および4)

MOKとセキュアブートが必要ですか?ハッカー、特にラップトップに物理的にアクセスしたり、ブラウザ/オフィス/ Linuxのバグを介してインターネットからルートアクセスを取得したりするハッカーに攻撃されることは決してありません。

1
Ned64