Как консолидировать несколько ключей MOK или удалить ненужные?
AFAIK у меня только был один файл MOK.priv, так как я начал использовать secureboot на Бионическом.
Обновление ядра на прошлой неделе (как обычно), попросило, чтобы я создал пароль MOK, и повторно вводить этот пароль на экране приема MOK в загружаются. Но я пропустил экран приема (в 1-й раз).
Я с тех пор смог зарегистрировать ключ MOK и подписать необходимые модули ядра, повторно включив безопасную начальную загрузку. Я затем нашел "висячую строку", MOK включают мою машину. Возможно, пропавшие без вести приема заставили меня заканчивать с еще одним ключом MOK? Или возможно не, так как это датировано августом в прошлом году.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
Файлы MOK я знаю, что имею, являются первой парой. 2-я пара была новостями мне.
Файлы MOK нельзя оставить доступными на машине. Я мог возможно просто зашифровать 2-й ключ, но
a) Я не удобное касание файла в/var/lib/shim-signed/и
b) Я хотел бы сохранить единственный файл MOK на машине (и зарегистрированный в BIOS)
Для усугубления положения сегодня я должен был установить обновление агента резервирования Acronis (который зависит от snapapi26, модуля ядра), и теперь имейте больше файлов MOK (хотя расширение отличается, это смотрит на меня, что MOK.secdata является ключом),
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
Я хотел бы иметь (зашифрованный) MOK.priv сингла и MOK.der на моей машине. Как я "консолидирую" эти ключи MOK в единственный (одним только размером, Вы видите, что они не идентичны)? Если это не возможно, мне нужен больше чем один ключ MOK? В противном случае, какой я должен сохранить?
Примечание стороны, и не требуемый ответить на мой основной вопрос: я ценил бы объяснение (или связался бы с одним) на том, что заставляет новый ключ MOK быть созданным, когда у Вас уже есть рабочий.
Обновление: перезагрузка отобразила экран приема MOK для ключа, созданного Acronis. Но не было никакой подсказки во время установщика Acronis для установки пароля для него, таким образом, я не мог зарегистрировать его. Модуль ядра, требуемый Acronis, установлен и подписан, таким образом, безопасно удалить ключи Acronis. Я могу просто удалить/var/lib/sb/MOK.*?
1 ответ
Я использовал mokutil --list-enrolled видеть, какие ключи использовались. Существует ключ, который я создал, один ключ для Подписывания кода Ubuntu и ключ CA Ubuntu.
Так как Acronis работает, и они включают созданный, не используется, я удалил '/var/lib/sb/MOK.*
Затем я работал mokutil --export который дал мне эти 3 ключа. Выполнение разности на тех 3 ключах экспортировало против der подарка файлов на моей машине, я узнал, что ключевой № 1 /root/keyfiles/MOK.der и ключевой № 2 /var/lib/shim-signed/mok/MOK.der. Таким образом, я зашифровал/var/lib/shim-signed/mok/MOK.gpg.
Я закончил с 2 парами, один я создал, одна созданная Ubuntu. Я оставлю их, как.
Я надеюсь, что экран приема не предстает снова перед удаленным ключом Acronis.
До, когда, это просит регистрировать другой ключ, ответ находится где-нибудь в здесь. Я не погружался в него.
PS: Этот ответ был очень полезен.