Безопасная загрузка (Secure Boot) предотвращает запуск неподписанного или измененного загрузочного кода на компьютерах с UEFI. В Ubuntu включение Secure Boot требует наличия подписанных загрузочных компонентов, включая ядро, модули и загрузчик GRUB.
Перед активацией Secure Boot важно проверить поддержку функции на уровне материнской платы и убедиться, что версия прошивки UEFI актуальна. На системах с устаревшей прошивкой могут возникать ошибки при загрузке или невозможность распознавания подписанных ключей.
Резервное копирование текущей системы, включая загрузочный раздел, позволяет восстановить Ubuntu при сбоях во время настройки. Рекомендуется использовать инструменты Clonezilla или встроенные средства Timeshift для создания точной копии системы.
Процесс настройки включает добавление собственных ключей пользователя, если планируется запуск неподписанных модулей или стороннего программного обеспечения. Без правильной конфигурации ядро Ubuntu может не загружаться, что делает последовательность шагов критичной для стабильной работы системы.
В этом руководстве приведена пошаговая инструкция: проверка совместимости, активация Secure Boot в UEFI, настройка GRUB и ключей, а также методы диагностики и исправления ошибок при запуске. Следуя инструкции, можно минимизировать риски и обеспечить запуск Ubuntu только с доверенных компонентов.
Проверка совместимости материнской платы с Secure Boot
Следующий шаг – сверка информации с официальной документацией производителя. В таблице ниже приведены типичные признаки поддержки Secure Boot для популярных брендов:
| Производитель | Признак поддержки Secure Boot | Минимальная версия UEFI |
|---|---|---|
| ASUS | UEFI BIOS с опцией «Secure Boot» в разделе Boot | 2201 или выше |
| Gigabyte | UEFI с ключами Platform Key (PK) и Key Exchange Key (KEK) | F7 или выше |
| MSI | Опция Secure Boot в Advanced BIOS Settings | 7A56v1 или выше |
| ASRock | UEFI BIOS с поддержкой OS Type «Windows UEFI Mode» | 2.10 или выше |
Если материнская плата поддерживает Secure Boot, необходимо убедиться, что функция включена в настройках BIOS/UEFI. Некоторые модели требуют обновления прошивки для корректного распознавания подписанных ключей Ubuntu.
Создание резервной копии текущей системы перед включением Secure Boot
Перед активацией Secure Boot необходимо создать полную резервную копию системы, включая загрузочный раздел и раздел с ядром Ubuntu. Это позволяет восстановить работоспособность системы при ошибках конфигурации Secure Boot или проблемах с UEFI.
Для создания резервной копии рекомендуется использовать Clonezilla. Она позволяет сохранить образ всей системы на внешний носитель, включая таблицу разделов GPT и загрузочный сектор EFI. Команда запуска выглядит следующим образом: sudo clonezilla с выбором режима «device-to-image».
Альтернативный способ – инструмент Timeshift, который создает снимок системы с сохранением пользовательских настроек и установленных пакетов. Запуск выполняется через команду sudo timeshift —create с выбором точки восстановления на отдельный диск или раздел.
Важно проверять целостность созданного образа. Clonezilla и Timeshift предоставляют средства проверки, которые гарантируют возможность восстановления без потери данных. Для внешнего носителя рекомендуется использовать диски с файловой системой ext4 или NTFS, совместимые с Linux.
Созданная резервная копия позволяет безопасно экспериментировать с настройками Secure Boot, включая добавление пользовательских ключей и модификацию GRUB, без риска полной потери доступа к Ubuntu.
Вход в UEFI и активация функции безопасной загрузки
Для включения Secure Boot необходимо войти в интерфейс UEFI. Обычно это выполняется нажатием клавиш Del, F2 или Esc сразу после включения компьютера. На экране появится меню прошивки с разделами настройки загрузки.
В UEFI следует перейти в раздел Boot или Security, в зависимости от производителя. Опция Secure Boot может быть изначально отключена, поэтому необходимо установить значение Enabled.
Некоторые материнские платы требуют установки режима OS Type в Windows UEFI Mode или Other OS для корректного распознавания ключей Ubuntu. Рекомендуется выбрать Other OS, чтобы система принимала подписи Linux.
После активации Secure Boot важно сохранить изменения через Save & Exit и перезагрузить систему. Если Ubuntu не загружается, нужно временно отключить Secure Boot и проверить наличие подписанных компонентов в разделе EFI.
Установка подписанных загрузочных ключей для Ubuntu
Для корректной работы Secure Boot требуется наличие подписанных ключей: Platform Key (PK), Key Exchange Key (KEK) и Signature Database (db). Ubuntu поставляется с предустановленными ключами Microsoft, которые принимаются большинством материнских плат, но для собственных модулей может потребоваться добавление пользовательских ключей.
Создание собственного ключа выполняется командой openssl req -new -x509 -newkey rsa:2048 -keyout MOK.key -out MOK.crt -nodes -days 3650 -subj «/CN=Ubuntu Secure Boot Key». Этот сертификат можно зарегистрировать через Machine Owner Key (MOK) с помощью команды sudo mokutil —import MOK.crt.
После перезагрузки система предложит ввести пароль для завершения регистрации ключа через MOK Manager. После успешной процедуры Ubuntu сможет загружать подписанные ядра и модули без ошибок Secure Boot.
Настройка GRUB для работы с Secure Boot
GRUB должен быть подписан для работы с включенным Secure Boot. Ubuntu использует предварительно подписанный загрузчик shimx64.efi, который обеспечивает проверку подписи ядра и модулей.
При необходимости сборки собственного GRUB с поддержкой Secure Boot нужно использовать утилиту grub-mkstandalone с опцией —modules=»normal part_gpt ext2″ и последующей подписью через sbsign: sbsign —key MOK.key —cert MOK.crt grubx64.efi. Это позволяет GRUB корректно загружать ядро и модули Ubuntu без блокировок.
После изменения GRUB обновите конфигурацию командой sudo update-grub и перезапишите загрузочные файлы в EFI-раздел с помощью sudo cp grubx64.efi /boot/efi/EFI/ubuntu/. Проверка работоспособности выполняется перезагрузкой с включенным Secure Boot и мониторингом ошибок на экране загрузки.
Проверка статуса Secure Boot после перезагрузки
После включения Secure Boot важно убедиться, что система распознает активные ключи и загружается корректно. Для проверки используется встроенная утилита mokutil и системные файлы UEFI.
Пошаговая проверка статуса:
- Для проверки зарегистрированных ключей используйте mokutil —list-enrolled. Список должен содержать Platform Key (PK), Key Exchange Key (KEK) и пользовательские MOK, если они были добавлены.
- Дополнительно проверьте подписи ядра командой sbsign —verify /boot/vmlinuz-$(uname -r). Сообщение Signature Verified подтверждает корректную подпись.
- При возникновении ошибок загрузки просмотрите системный журнал с помощью journalctl -b и фильтром по ключевым словам Secure Boot.
Если статус Secure Boot не соответствует ожиданиям, рекомендуется временно отключить его в UEFI, проверить корректность ключей и повторно зарегистрировать MOK через sudo mokutil —import. После успешной проверки система будет загружаться только с подписанных компонентов.
Устранение ошибок при запуске Ubuntu с включенным Secure Boot
Ошибки при загрузке Ubuntu с включенным Secure Boot чаще всего связаны с неподписанными ядрами, модулями или неправильной конфигурацией GRUB. Для устранения проблем важно идентифицировать точный источник сбоя и проверить регистрацию ключей.
Алгоритм действий при сбоях:
- Проверка состояния Secure Boot командой mokutil —sb-state. Если Secure Boot отключен, включение его в UEFI может вызвать ошибки.
- Сверка подписанных ключей с помощью mokutil —list-enrolled. При отсутствии MOK необходимо повторно импортировать ключи: sudo mokutil —import MOK.crt.
- Проверка подписи ядра и модулей командой sbsign —verify /boot/vmlinuz-$(uname -r). Несоответствие требует пересборки или подписи ядра.
- Проверка конфигурации GRUB: убедитесь, что загруженный grubx64.efi подписан и обновлен командой sudo update-grub. При необходимости подпишите собственный GRUB через sbsign.
- Просмотр системного журнала journalctl -b с фильтром Secure Boot для выявления блокируемых модулей или ошибок загрузки.
- Если проблема сохраняется, временно отключите Secure Boot в UEFI, выполните загрузку и исправьте неподписанные компоненты, затем повторно включите Secure Boot.
Соблюдение последовательности проверки ключей, ядра и GRUB позволяет устранить большинство ошибок, связанных с Secure Boot, и гарантирует безопасную загрузку Ubuntu без дополнительных рисков.
Вопрос-ответ:
Как проверить, поддерживает ли моя материнская плата Secure Boot?
Для проверки поддержки Secure Boot на Linux используйте команду sudo dmidecode -t 0, которая покажет производителя, модель материнской платы и версию UEFI. Затем сверяйте эти данные с документацией производителя: раздел Boot или Security должен содержать опцию Secure Boot. Также обратите внимание на наличие ключей PK и KEK в UEFI, их отсутствие означает необходимость обновления прошивки.
Нужна ли резервная копия перед включением Secure Boot и как её создать?
Да, создание резервной копии позволяет восстановить систему при ошибках загрузки. Для этого можно использовать Clonezilla для полного образа диска или Timeshift для снимков системы с сохранением настроек и пакетов. После создания образа проверьте его целостность, чтобы убедиться, что восстановление будет возможным.
Как зарегистрировать пользовательские ключи MOK для Ubuntu?
Сначала создайте сертификат с помощью команды openssl req -new -x509 -newkey rsa:2048 -keyout MOK.key -out MOK.crt -nodes -days 3650 -subj «/CN=Ubuntu Secure Boot Key». Затем импортируйте ключ через sudo mokutil —import MOK.crt. После перезагрузки MOK Manager предложит ввести пароль для завершения регистрации. Это позволяет системе загружать ядра и модули с пользовательскими подписями.
Почему Ubuntu не загружается после включения Secure Boot?
Причины обычно связаны с неподписанными ядрами, модулями или некорректной конфигурацией GRUB. Для устранения: проверьте статус Secure Boot командой mokutil —sb-state, список зарегистрированных ключей mokutil —list-enrolled, подпись ядра sbsign —verify /boot/vmlinuz-$(uname -r) и убедитесь, что GRUB подписан. При необходимости временно отключите Secure Boot, исправьте компоненты и повторно активируйте его.
Как проверить, что Secure Boot активен после перезагрузки Ubuntu?
Используйте mokutil —sb-state для проверки включения функции. Для проверки ключей используйте mokutil —list-enrolled, а для ядра — sbsign —verify /boot/vmlinuz-$(uname -r). Если все ключи зарегистрированы и подписи валидны, система запускается под контролем Secure Boot. Журналы можно просмотреть через journalctl -b с фильтром по ключевому слову Secure Boot для диагностики ошибок.
Как безопасно добавить пользовательские ключи MOK для загрузки собственных модулей Ubuntu?
Для добавления пользовательских ключей создайте сертификат с помощью команды openssl req -new -x509 -newkey rsa:2048 -keyout MOK.key -out MOK.crt -nodes -days 3650 -subj «/CN=Ubuntu Secure Boot Key». Затем импортируйте его через sudo mokutil —import MOK.crt. После перезагрузки MOK Manager предложит ввести пароль для завершения регистрации. После этого Ubuntu сможет запускать ядра и модули с вашей подписью. Для проверки используйте mokutil —list-enrolled, чтобы убедиться, что ключ зарегистрирован, и sbsign —verify /boot/vmlinuz-$(uname -r), чтобы проверить подпись ядра.
Загрузка...
