AFAIK Od té doby, co jsem na Bionic začal používat secureboot, mám pouze jeden soubor MOK.priv.
Aktualizace jádra minulý týden (jako obvykle) mě požádala o vytvoření hesla MOK a opětovné zadání tohoto hesla na obrazovce registrace MOK při spouštění. Ale minul jsem registrační obrazovku (poprvé).
Od té doby jsem byl schopen zaregistrovat klíč MOK a podepsat potřebné moduly jádra, čímž jsem znovu povolil bezpečné spouštění. Pak jsem na svém počítači našel „sirotčí“ MOK klíč. Možná, že chybějící registrace způsobila, že jsem skončil s jedním dalším klíčem MOK? Nebo možná ne, protože se datuje srpen minulého roku.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
Soubory MOK, které znám, jsou první dvojice. 2. pár byl pro mě novinkou.
Soubory MOK by neměly zůstat v počítači dostupné. Možná bych mohl zašifrovat 2. klíč, ale
a) Nebaví mě dotýkat se souboru ve /var/lib/shim-signed/ a
b) Chtěl bych v počítači ponechat jeden soubor MOK (a zapsaný v systému BIOS)
Aby toho nebylo málo, dnes jsem musel nainstalovat upgrade na agenta zálohování Acronis (který závisí na snapapi26, modulu jádra) a nyní mít více souborů MOK (ačkoli je přípona jiná, zdá se mi, že MOK.secdata je klíč)
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
Chtěl bych mít na svém počítači jeden (zašifrovaný) MOK.priv a MOK.der. Jak mohu tyto klíče MOK „sloučit“ do jednoho (podle velikosti vidíte, že nejsou totožné)? Pokud to není možné, potřebuji více než jeden klíč MOK? Pokud ne, který si mám ponechat?
Poznámka na okraj, která není povinná k zodpovězení mé hlavní otázky:Ocenil bych vysvětlení (nebo odkaz na jeden), co způsobuje vytvoření nového klíče MOK, když již máte funkční.
Aktualizace:po restartu se zobrazila obrazovka registrace MOK pro klíč vytvořený společností Acronis. Během instalačního programu Acronis se však neobjevila žádná výzva k nastavení hesla, takže jsem jej nemohl zaregistrovat. Modul jádra požadovaný Acronisem je nainstalován a podepsán, takže je bezpečné odebrat klíče Acronis. Mohu jen smazat /var/lib/sb/MOK.* ?
Související:Jak nainstalovat a používat PyCharm, aniž byste museli používat terminál?Přijatá odpověď:
Použil jsem mokutil --list-enrolled abyste viděli, které klíče byly používány. Existuje klíč, který jsem vytvořil, jeden klíč pro podepisování kódu Ubuntu a klíč Ubuntu CA.
Protože Acronis běží a klíč, který vytvořil, není používán, odstranil jsem `/var/lib/sb/MOK.*
Potom jsem spustil mokutil --export který mi dal 3 klíče. Spuštěním porovnání těchto 3 klíčů exportovaných proti souborům der přítomným na mém počítači jsem zjistil, že klíč #1 je /root/keyfiles/MOK.der a klíč #2 je /var/lib/shim-signed/mok/MOK.der . Takže jsem zašifroval /var/lib/shim-signed/mok/MOK.gpg.
Skončil jsem se 2 páry, jeden jsem vytvořil, jeden vytvořil Ubuntu. Nechám je tak, jak jsou.
Doufám, že se obrazovka registrace pro smazaný klíč Acronis znovu nezobrazí.
Pokud jde o to, kdy požaduje zapsat další klíč, odpověď je někde tady. Neponořil jsem se do toho.
PS:Tato odpověď byla velmi užitečná.