Oi pessoal.
Para quem quer habilitar o security boot no arch segue o passos.
Ubuntu e outras distribuições acho que já vem ativado.
Baixar o aplicativo sbctl
pacman -S sbctl
E execute sbctl
sbctl status
Para ver o status do aplicativo
Antes de começar vá na bios coloque security boot ativado, como customizado e resete ou apagua todas as chaves.
Inicie o pc
como estára sem chave ele irá iniciar normalmente. NO caso é como se estive sem secutity boot.
Crie uma customizada chave de secutity boot
sbctl create-keys
Cadastre a sua chave, comchaves da Microsoft’s , em UEFI:
sbctl enroll-keys -m
execute de novo o sbctl status para ver como está o status
Verifique quais arquivos precisam ser assinados para que a inicialização segura funciona
sbctl verify
exemplo
sbctl sign -s /boot/vmlinuz-linux
sbctl sign -s /boot/EFI/BOOT/BOOTX64.EFI
Dica: Especialmente se você estiver inicializando duas vezes com o Windows, pode haver muitos arquivos que precisam ser assinados. O processo de assinatura de todos os arquivos necessários usando sbctl pode ser feito com sed:
sbctl verifica | sed ‘s/✗ /sbctl sinal -s /e’
Este exemplo pressupõe que os caminhos dos arquivos gerados são relativos a /boot.
Dica: Se você usar Systemd-boot e systemd-boot-update.service, o carregador de boot só será atualizado após uma reinicialização e, portanto, o gancho sbctl pacman não assinará o novo arquivo. Como solução alternativa, pode ser útil assinar o carregador de boot diretamente em /usr/lib/, pois bootctl install and update reconhecerá e copiará automaticamente os arquivos .efi.signed para o ESP, se presente, em vez do arquivo .efi normal. Veja bootctl(1).
sbctl sign -s -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi
Para o grub faça uma reinstalação, habilitando alguns parâmetros cono tpm, isso é opcional. O shim é obrigatório.
–modules=“tpm” --disable-shim-lock
exemplo
sudo grub-install --modules=“tpm” --disable-shim-lock /dev/sda
Atualize o grub
sudo grub-mkconfig -o /boot/grub/grub.cfg
Atualize o mkinitcpio
sudo mkinitcpio -P
Execute novamente o status
sbctl status
E veja como está
Reinicie o pc e veja se funcionou.
Qualquer problema desative o security boot ou resete as chaves.