Исходное сообщение
"Леннарт Поттеринг предложил новую архитектуру верифицированн..." Отправлено Аноним, 26-Окт-22 16:40
> То есть можно написать скрипт из нескольких команд, собрать его в пакетик, жалательно немного доработать инсталлятор. И вопрос решён на уровне дистрибутива. Правильно? Да. Вот несложный скрипт, генерящий ключи https://www.rodsbooks.com/efi-bootloaders/mkkeys.sh Нужно сгенерить ключи, перезагрузиться в BIOS, переключить там режим SB в user mode, загрузиться обратно в систему, вызвать sbkeysync из пакета sbsigntools (если соответствующие EFI-переменные всё еще будут защищены от записи, то надо будет скопировать ключи на ESP, еще раз перезагрузиться, запустив KeyTool.efi из efitools, и за-enroll-ить KEK, db и dbx ключи вручную). Подписывать ядра и загрузчики можно командой sbsign из того же пакета. С systemd ядра можно подписывать автоматически, кинув в /etc/kernel/install.d/ скрипт примерно такого вида $ cat /etc/kernel/install.d/90-kernel-sign.install COMMAND="$1" case "$COMMAND" in         add) sbsign --cert /etc/secureboot/keys/local.crt --key /etc/secureboot/keys/local.key --output "/boot/vmlinuz-${2}" "/lib/modules/${2}/vmlinuz" ;;         *) ;; esac Если хочешь UKI, описываемый в статье, то сначала склей его через стандартный objcopy из binutils, а затем уже подписывай. Все это несложно интегрировать в дистрибутивы, было бы желание. Если у тебя оно есть, то предложи своему любимому дистрибутиву помощь.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке: