GNU/Linux >> LINUX-Kenntnisse >  >> Ubuntu

Wie konsolidiere ich mehrere Mok-Schlüssel oder lösche unnötige?

AFAIK Ich habe nur eine MOK.priv-Datei, seit ich angefangen habe, Secureboot auf Bionic zu verwenden.

Ein Kernel-Update letzte Woche (wie üblich) forderte mich auf, ein MOK-Passwort zu erstellen und dieses Passwort im MOK-Registrierungsbildschirm beim Booten erneut einzugeben. Aber ich habe den Registrierungsbildschirm (zum ersten Mal) verpasst.

Seitdem konnte ich den MOK-Schlüssel registrieren und die erforderlichen Kernel-Module signieren, wodurch der sichere Start wieder aktiviert wurde. Ich habe dann einen „verwaisten“ MOK-Schlüssel auf meiner Maschine gefunden. Vielleicht hat das Versäumen der Registrierung dazu geführt, dass ich am Ende einen weiteren MOK-Schlüssel habe? Oder vielleicht auch nicht, da es vom August letzten Jahres ist.

-rw------- 1 root root 1.1K Jun 13  2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13  2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root  910 Aug 13  2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13  2018 /var/lib/shim-signed/mok/MOK.priv

Die MOK-Dateien, von denen ich weiß, dass ich sie habe, sind das erste Paar. Das 2. Paar war mir neu.

MOK-Dateien sollten nicht auf dem Computer verfügbar bleiben. Ich könnte möglicherweise nur den 2. Schlüssel verschlüsseln, aber

a) Ich fühle mich nicht wohl dabei, eine Datei in /var/lib/shim-signed/ und

anzufassen

b) Ich möchte eine einzelne MOK-Datei auf dem Computer behalten (und im BIOS registriert)

Um die Sache noch schlimmer zu machen, musste ich heute ein Upgrade auf den Acronis Backup Agent installieren (der von snapapi26, einem Kernel-Modul, abhängt) und habe jetzt mehr MOK-Dateien (obwohl die Erweiterung anders ist, sieht es für mich so aus, als wäre MOK.secdata eine Schlüssel)

-rw-r--r-- 1 root root  854 Apr  7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr  7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root    0 Apr  7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root  228 Apr  7 18:34 /var/lib/sb/MOK.secmeta

Ich möchte eine einzelne (verschlüsselte) MOK.priv und MOK.der auf meinem Rechner haben. Wie „konsolidiere“ ich diese MOK-Schlüssel zu einem einzigen (allein an der Größe sieht man, dass sie nicht identisch sind)? Wenn dies nicht möglich ist, benötige ich mehr als einen MOK-Schlüssel? Wenn nicht, welches soll ich behalten?

Nebenbemerkung, die zur Beantwortung meiner Hauptfrage nicht erforderlich ist:Ich würde mich über eine Erklärung (oder einen Link zu einer solchen) freuen, warum ein neuer MOK-Schlüssel erstellt wird, wenn Sie bereits einen funktionierenden haben.

Update:Bei einem Neustart wurde ein MOK-Registrierungsbildschirm für den von Acronis erstellten Schlüssel angezeigt. Aber es gab keine Aufforderung während des Acronis-Installationsprogramms, ein Passwort dafür einzurichten, also konnte ich es nicht registrieren. Das von Acronis benötigte Kernel-Modul ist installiert und signiert, sodass die Acronis-Schlüssel sicher entfernt werden können. Kann ich /var/lib/sb/MOK.* einfach löschen?

Verwandte:Wie installiere und verwende ich PyCharm, ohne ein Terminal verwenden zu müssen?

Akzeptierte Antwort:

Ich habe mokutil --list-enrolled verwendet um zu sehen, welche Schlüssel verwendet wurden. Es gibt einen Schlüssel, den ich erstellt habe, einen Schlüssel für Code Signing von Ubuntu und einen Ubuntu-CA-Schlüssel.

Da Acronis läuft und der erstellte Schlüssel nicht verwendet wird, habe ich `/var/lib/sb/MOK.*

entfernt

Dann habe ich mokutil --export ausgeführt die mir die 3 Schlüssel gab. Als ich einen Vergleich mit diesen 3 Schlüsseln durchführte, die gegen die auf meinem Computer vorhandenen der-Dateien exportiert wurden, fand ich heraus, dass Schlüssel Nr. 1 /root/keyfiles/MOK.der ist und Schlüssel #2 ist /var/lib/shim-signed/mok/MOK.der . Also verschlüsselte ich /var/lib/shim-signed/mok/MOK.gpg.

Am Ende hatte ich 2 Paare, eines, das ich erstellt habe, eines, das Ubuntu erstellt hat. Ich werde sie so lassen, wie sie sind.

Ich hoffe, dass der Registrierungsbildschirm für den gelöschten Acronis-Schlüssel nicht erneut angezeigt wird.

Soweit es darum geht, einen anderen Schlüssel zu registrieren, ist die Antwort irgendwo hier drin. Ich habe mich nicht damit beschäftigt.

PS:Diese Antwort war sehr hilfreich.


Ubuntu

  1. So konfigurieren Sie SSH-Schlüssel mit cPanel

  2. So verwalten Sie GnuPG-Schlüssel in cPanel

  3. So richten Sie SSH-Schlüssel ein

  4. Wie ordnet man die zu löschende Numlock-Taste neu zu?

  5. So richten Sie SSH-Schlüssel unter Ubuntu 18.04 ein

So richten Sie SSH-Schlüssel unter Debian 9 ein

So richten Sie SSH-Schlüssel unter Debian 10 ein

Wie richte ich SSH-Schlüssel ein – Windows-Betriebssystem?

So löschen Sie ein Repository und einen GPG-Schlüssel in Ubuntu

So löschen Sie mehrere Zeilen in Vim

Wie lösche ich mehrere Ordner parallel?