Habilitar security boot no Arch Linux com grub ou systemd-boot

Oi pessoal.
Para quem quer habilitar o security boot no arch segue o passos.

https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Assisted_process_with_systemd

Ubuntu e outras distribuições acho que já vem ativado.

Baixar o aplicativo sbctl

pacman -S sbctl

E execute sbctl

sbctl status

Para ver o status do aplicativo

Antes de começar vá na bios coloque security boot ativado, como customizado e resete ou apagua todas as chaves.

Inicie o pc

como estára sem chave ele irá iniciar normalmente. NO caso é como se estive sem secutity boot.

Crie uma customizada chave de secutity boot

sbctl create-keys

Cadastre a sua chave, comchaves da Microsoft’s , em UEFI:

sbctl enroll-keys -m

execute de novo o sbctl status para ver como está o status

Verifique quais arquivos precisam ser assinados para que a inicialização segura funciona

sbctl verify

exemplo

sbctl sign -s /boot/vmlinuz-linux
sbctl sign -s /boot/EFI/BOOT/BOOTX64.EFI

Dica: Especialmente se você estiver inicializando duas vezes com o Windows, pode haver muitos arquivos que precisam ser assinados. O processo de assinatura de todos os arquivos necessários usando sbctl pode ser feito com sed:

sbctl verifica | sed ‘s/✗ /sbctl sinal -s /e’

Este exemplo pressupõe que os caminhos dos arquivos gerados são relativos a /boot.

Dica: Se você usar Systemd-boot e systemd-boot-update.service, o carregador de boot só será atualizado após uma reinicialização e, portanto, o gancho sbctl pacman não assinará o novo arquivo. Como solução alternativa, pode ser útil assinar o carregador de boot diretamente em /usr/lib/, pois bootctl install and update reconhecerá e copiará automaticamente os arquivos .efi.signed para o ESP, se presente, em vez do arquivo .efi normal. Veja bootctl(1).

sbctl sign -s -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi

Para o grub faça uma reinstalação, habilitando alguns parâmetros cono tpm, isso é opcional. O shim é obrigatório.

–modules=“tpm” --disable-shim-lock

exemplo

sudo grub-install --modules=“tpm” --disable-shim-lock /dev/sda

Atualize o grub

sudo grub-mkconfig -o /boot/grub/grub.cfg

Atualize o mkinitcpio

sudo mkinitcpio -P

Execute novamente o status

sbctl status

E veja como está

Reinicie o pc e veja se funcionou.

Qualquer problema desative o security boot ou resete as chaves.

4 curtidas

excelente. taí dica que faltava. falta só o pessoal do arch habiltar esse recurso por padrão, que já passou da hora.

4 curtidas

Um dos devs tpowa(Tobias Powalowski) tem o projeto ArchBoot que o mesmo Arch Linux com secureboot habilitado por padrão
Não dá pra dizer que não vão colocar por padrão mas parece ter possibilidade de vir

4 curtidas

O Ubuntu eu sei que é verdade, estou com secure boot habilitado aqui desde o 16.04.

1 curtida