La réactivation de Secure Boot dans UEFI est-elle sécurisée?
Il y a quelque temps, je devais désactiver le démarrage sécurisé dans UEFI afin d'installer un pilote tiers.
Maintenant que ce pilote tiers n'est plus requis (à cause des mises à jour du noyau), je l'ai désinstallé.
Après avoir supprimé ce pilote non signé, je pensais que ce serait peut-être une bonne idée d'activer à nouveau le démarrage sécurisé. Est-ce Ou un logiciel malveillant aurait-il pu causer des dommages entre-temps, par exemple l'ajout de nouvelles clés de démarrage sécurisé, de sorte que le démarrage sécurisé ne soit plus "sécurisé" après l'avoir désactivé une fois?
Oui, vous pouvez réactiver en toute sécurité Secure Boot. Il est très peu probable que quelque chose ait été endommagé.
Remplacez ensuite le chargeur de démarrage par défaut de grubx64.efi par shimx64.efi dans le BIOS | UEFI.
Sinon, Ubuntu essaie de démarrer avec le chargeur de démarrage non signé - ce qui ne fonctionne bien sûr pas.
Vous pouvez également le faire avant de modifier les paramètres de Secure Boot avec efibootmgrname__::
Pour lister les fichiers du chargeur de démarrage actuellement actifs, exécutez la commande suivante: Sudo efibootmgr -v
Modifiez l'ordre de démarrage en exécutant Sudo efibootmgr -o XXXX,YYYY (X,Y = entry number)
Si shimx64.efi ne figure pas dans la liste, vous pouvez l’ajouter en exécutant (X = disque | Y = partition EFI):Sudo efibootmgr -c -w -d /dev/sdXY -p 1 -L "ubuntu" -l '\EFI\ubuntu\shimx64.efi
Je ne me dérangerais pas. La réactivation de Secure Boot n'améliorera pas votre sécurité Ubuntu de manière mesurable (bien que, si cela vous aide à vous sentir mieux, je ne vois pas de mal à le faire).
Si vous souhaitez le réactiver, vous devez vous abonner à ce bogue et attendre que le bogue soit corrigé car auparavant, vous ne faites rien du point de vue d'Ubuntu.
Modifier: Le bogue susmentionné a été rapporté corrigé le 30 mars 2017 17:45:23 dans le paquet grub2 - 2.02 ~ beta3-4ubuntu2.
et aussi dans le paquet grub2-signed - 1.8 à partir du 04 avr. 2017 10:28:34
Le fichier deb (créé pour Zesty) est disponible ici. Puisque vous utilisez Xenial, il peut être plus sûr d'attendre un paquet développé spécifiquement pour votre version (ou à tout le moins, créez un sauvegarde actuelle ) pour éviter toute conséquence imprévue liée à l’installation d’un fichier .deb conçu pour Zesty sur un système Xenial.