Ubuntu 16.04の初期インストールでセキュアブートを無効にするためにパスワードを作成するように求められたのはなぜですか?


30

Ubuntu 16.04の初期インストール時に「サードパーティソフトウェアのインストール」をチェックすると、その下で、OSパッケージが自動的にセキュアブートを無効にすることができる別のオプションをチェックするように求められました。このプロセス全体を何らかの形で許可するパスワードを作成します。

インストールを続行した後、このセキュアブートの無効化が発生したことを示すことも、作成したパスワードの入力を求めることもありませんでした。

OSが正常にインストールされたら、コンピューターを再起動してBIOSをチェックアウトしました。BIOSでは、セキュアブートが引き続き有効になっています。ただし、Ubuntuに戻ると、MP3ファイルとFlashファイルをシームレスに再生できます。これは、サードパーティソフトウェアのインストールが成功したことを示していると思われます。

私はまだ何の問題にも遭遇していません(UIが少し細かくてバグが多かったという事実を除いて)が、そのパスワードを作成することで私が実際に達成したことを知りたいです。

作成したパスワードはどうなりましたか?何らかの理由でそれを覚えておく必要がありますか?ログイン/ sudoパスワードとは異なります。

Ubuntuは、自身の例外を作成するためにBIOSを永続的に編集しましたか?もしそうなら、どうすればこれらの変更を表示して元に戻すことができますか?それはパスワードが入る場所ですか?

とにかく、Ubuntu-restricted-extrasパッケージをインストールするには、Ubuntuがセキュアブートを無効化/バイパスする必要があるのはなぜですか?私のインストールは大丈夫ですか?将来の問題に備えて準備をしましたか?そもそもプロンプトが表示されないように、手動で無効にしたセキュアブートで再インストールを試みる必要がありますか?

追加情報:UEFIシステムを実行しており、Windows 10とともにUbuntu 16.04をデュアルブートしています。

ここで別のユーザーが同様の問題について質問しました。このユーザーとは異なり、「安全でないモードで起動する」という警告は表示されませんが、Ubuntuがそれ自体に例外を作成したかどうか、およびそのような例外をどのように管理できるかを知りたいです。私とは異なり、このユーザーはパスワードを作成する必要があることについて何も言及していません。

ダイアログボックスを複製することができました。 ここにあります。

追加情報を次に示します。


1
Ubuntu 16.04では、セキュアブートの処理にいくつかの変更を加えましたが、まだ完全には検討していません。しかし、私が知っていることのいくつかは、この質問に対する私の答えにあります。コマンドへの出力を確認したいと思いますhexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c。最初の行の最後の数字(0または1)は、セキュアブートステータス(非アクティブまたはアクティブ)を示します。
ロッドスミス

1
0000000 0006 0000 0001 0000005間違いなくアクティブに見えます。何回か実行して何も起こらないかどうかを確認するために、何度か無効にしてから再度有効にしていることに注意してください。繰り返しますが、これまでのところすべてが順調に実行されていますが、私の唯一の恐怖は、将来、何かがうまくいかなくなる可能性があることです。いくつかのドキュメントを読んだ後、一時的なパスワードは、Ubuntuが機能自体を直接サポートするのではなく、セキュアブートの一種の代理として機能するように思われます。私は再びそれを求められなかったことを考えると、私の最良の推測は、機能が不完全/バグであるということです。
コスモ

1
ちょっとした話ですが、一時的なパスワードがセキュアブートの代理であるというのは間違っているかもしれません。追加情報なしであると理解できるのはそれだけです。これを見つけることはできませんでした。どう思いますか?
コスモ

1
私はこの問題についてこれ以上考えていないのではないかと心配しています。これらの最近の変更を調査するには、ある程度の時間と労力が必要です。
ロッド・スミス

1
セキュアブートにはパスワードが必要です。空白にすることはできず、何らかの認証が必要です。これが、ネットワーク管理者がパスワードなしではリモートでログインできないため、セキュリティで保護されたコンピューターシステムに管理者アカウントのパスワードを残さない理由です。
ドリアン

回答:


7

UEFIセキュアブートは、ブートファイルでCAキーと署名を組み合わせて使用​​することにより、ブートローダーが改ざんされるのを防ぎます。たとえば、Microsoftは、ほとんどのPCのUEFIファームウェアに既にCAキーが存在するブートローダーに署名しています。

これはローダーの非常に初期のコアのみを保護し、その後は何も保護しません。たとえば、initrd(ini​​tramfs)は保護されていないか、またはその後のもの(GRUB、カーネル、モジュール、ドライバー、ユーザースペース内のすべてなど)は保護されていません。

インストールしたサードパーティソフトウェアには、ブートローダーに必要な特定の低レベルのPCIまたはRAIDコードが含まれている場合があります。そのため、パスワードを作成する必要があり、UEFIファームウェアのスペースにキーが作成されます。変更後、システムがブート時に異なることに気付くと、BIOSはPOSTで停止し、インストール中に入力したパスワードと同じパスワードを要求して、ソフトウェアをインストールしたのが自分であることを証明します。このメソッドは、BIOS POST時にこれを偽装するソフトウェアをロードできないため、コンピューターに物理的に座っているユーザーが確認としてこのパスワードを入力することを保証します。

ほとんどのユーザーシステムでは、セキュアブートはユーザーを保護するのにほとんど役立ちません。ウイルスやマルウェア、またはそれらのインストールを防ぎません。それはすべて、低レベルのブートローダーの改ざんを防ぎます。これは、通常、基本的なウイルス対策またはOSセキュリティによってとにかく防止されます。私の意見では、そしてそこにあるほとんどの文書によると、それは安全に無効にできます。


これは私が探している答えかもしれません!パスワードを作成しても、BIOSを変更しない限り、パスワードを要求されることはありませんか?
コスモ

1
そうでもない。UEFIファームウェアがブートアップごとにチェックし、それらのファイルの署名をデータベースに保存されているキーと比較するブートローダーを変更するものをインストールする場合、それを求められることがあります。
ドリアン

1
「ほとんどの種類の攻撃では、セキュアブートはあなたを保護するのにほとんど役に立たない」という意味ではありませんか?
jpaugh

1
@jpaugh私が推測する単語攻撃を使用できます。ただし、ほとんどの感染/ウイルス/マルウェアは直接攻撃とは見なされません。通常、これらのことは誰にでも感染し、特に誰にも感染しないように野生で設定されているだけです。しかし、はい、あなたのシステムにリモートでアクセスし、ブートを台無しにしようとする人は攻撃と見なされます。
ドリアン

1
@Cosmo grubコマンドは、grubがすでにロードされた後にメモリ内で実行されるため、オフにしないでください。しかし、おそらくあなたが実行しているコマンドは、前に実行されなかったモジュールを実行しようとしており、UEFIアラームをオフにしています... BIOSからパスワードの入力を求められていますか?BIOSでセキュアブートを無効にすると、プロンプトなしで実行されますか?
ドリアン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.