GNU/Linux >> Linux の 問題 >  >> Ubuntu

複数のMokキーを統合する方法、または不要なキーを削除する方法は?

AFAIK Bionicでsecurebootを使い始めてから、MOK.privファイルは1つしかありません。

先週のカーネルアップデート(いつものように)で、MOKパスワードを作成し、起動時にMOK登録画面にこのパスワードを再入力するように求められました。しかし、登録画面を見逃しました(初めて)。

それ以来、MOKキーを登録し、必要なカーネルモジュールに署名して、セキュアブートを再度有効にすることができました。次に、自分のマシンで「孤立した」MOKキーを見つけました。たぶん、登録を逃したために、もう1つのMOKキーが必要になりましたか?去年の8月の日付なので、そうではないかもしれません。

-rw------- 1 root root 1.1K Jun 13  2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13  2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root  910 Aug 13  2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13  2018 /var/lib/shim-signed/mok/MOK.priv

私が持っていることがわかっているMOKファイルは最初のペアです。 2番目のペアは私にとってニュースでした。

MOKファイルをマシン上で利用可能なままにしないでください。 2番目のキーを暗号化することもできますが、

a)/ var / lib /shim-signed/および

内のファイルに触れることに抵抗があります

b)マシンに単一のMOKファイルを保持したい(そしてBIOSに登録したい)

さらに悪いことに、今日、Acronisバックアップエージェント(カーネルモジュールであるsnapapi26に依存)へのアップグレードをインストールする必要があり、MOKファイルが増えました(拡張子は異なりますが、MOK.secdataはキー)

-rw-r--r-- 1 root root  854 Apr  7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr  7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root    0 Apr  7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root  228 Apr  7 18:34 /var/lib/sb/MOK.secmeta

マシンに単一の(暗号化された)MOK.privとMOK.derが必要です。 これらのMOKキーを1つに「統合」するにはどうすればよいですか(サイズだけで、それらが同一ではないことがわかります)。これが不可能な場合、複数のMOKキーが必要ですか?そうでない場合は、どちらを保持する必要がありますか?

補足、私の主な質問に答える必要はありません。すでに機能しているMOKキーがある場合に、新しいMOKキーが作成される原因についての説明(またはリンク)をいただければ幸いです。

更新:再起動すると、Acronisによって作成されたキーのMOK登録画面が表示されました。しかし、Acronisインストーラーの実行中にパスワードを設定するプロンプトが表示されなかったため、登録できませんでした。アクロニスに必要なカーネルモジュールがインストールおよび署名されているため、アクロニスキーを安全に取り外すことができます。 /var/lib/sb/MOK.*を削除できますか?

関連:ターミナルを使用せずにPyCharmをインストールして使用するにはどうすればよいですか?

承認された回答:

mokutil --list-enrolledを使用しました どのキーが使用されているかを確認します。私が作成したキーがあります。1つはUbuntuによるコード署名用のキーで、もう1つはUbuntuCAキーです。

アクロニスが実行されており、作成されたキーが使用されていないため、 `/ var / lib / sb/MOK。*

を削除しました。

次に、mokutil --exportを実行しました それは私に3つの鍵を与えました。私のマシンに存在するderファイルに対してエクスポートされたこれらの3つのキーで差分を実行すると、キー#1が/root/keyfiles/MOK.derであることがわかりました。 キー#2は/var/lib/shim-signed/mok/MOK.derです。 。そこで、/ var / lib / shim-signed / mok/MOK.gpgを暗号化しました。

最終的に2つのペアが作成されました。1つは作成し、もう1つはUbuntuを作成しました。そのままにしておきます。

削除されたAcronisキーの登録画面が再び表示されないことを願っています。

別のキーの登録をいつ要求するかについては、答えはここのどこかにあります。私はそれに飛び込みませんでした。

PS:この回答は非常に役に立ちました。


Ubuntu

  1. cPanelを使用してSSHキーを設定する方法

  2. cPanelでGnuPGキーを管理する方法

  3. SSHキーを設定する方法

  1. PleskでSSHキーを使用する方法

  2. Ubuntu16.04でSSHキーを設定する方法

  3. Ubuntu18.04でSSHキーを設定する方法

  1. SSHで公開鍵認証を使用する方法

  2. CentOS7でSSHキーを生成および設定する方法

  3. 削除するNumlockキーを再マップする方法は?