最新のNvidia Graphics Driverをインストールする目的でセキュアブートを無効にしても安全かどうかを知りたかっただけです。
私が実行しているWindowsの10と一緒のUbuntu 16.04を上エイサー熱望Vニトロ。それぞれが同じHDD上に独自のパーティションを持っています。
最新のNvidia Graphics Driverをインストールする目的でセキュアブートを無効にしても安全かどうかを知りたかっただけです。
私が実行しているWindowsの10と一緒のUbuntu 16.04を上エイサー熱望Vニトロ。それぞれが同じHDD上に独自のパーティションを持っています。
回答:
セキュアブートでは、WindowsとUbuntuの両方で、すべてのシステムレベルドライバーが「署名」されている必要があり、本物のソフトウェアとして承認されていることが証明されます。アイデアはかなり良く、Windowsでは、Microsoftはほとんどのドライバーに署名します。
ただし、Ubuntuでは、ワイヤレスカード、ビデオカード、または専用ハードウェア用の特別なドライバーが必要になる場合があります。これらのドライバーは、多くの異なるソースから提供される可能性があるため、通常は署名されていません。セキュアブートが有効で、ドライバーが署名されていない場合、これらのドライバーは読み込まれません。それらをロードするには、各ドライバーに「署名」する必要があります。ドライバーに署名するこのプロセスはそれほど難しくありませんが、特にドライバーを変更/更新する場合、またはUbuntuの一部であるカーネルソフトウェアを変更/更新する場合は、面倒な場合があります。変更するたびに、ドライバを辞任する必要があります。
だから、これを想像してください...あなたのシステムは正常に動作しています...セキュアブートが有効になっています...あなたのドライバーはすべて適切に署名されています...そしてUbuntuのソフトウェアアップデーターを使用して新しいカーネルをインストールします...またはインストールします新しいドライバ...そしてシステムを再起動すると、ワイヤレスカードが機能しなくなったり、ビデオカードが正しく表示されなかったり、特殊なハードウェアが機能しなくなったりすることがわかります。ここで、すべてのモジュールを再コンパイルして再署名する必要があります。楽しくない。
私のシステムでは、Ubuntuカーネルが更新されるたびに再署名が必要になる5つのカスタムDKMSドライバーモジュールを使用しています。あら
短い話...セキュアブートを無効にして幸せになります。Windowsは気にせず、Ubuntuはソフトウェアの更新とドライバーのインストールをあなたの側でより少ない作業で生き残ります。
セキュアブートをオフにしても安全かどうかは、セキュリティ要件によって異なります。ただし、セキュアブートをオフにする代わりに、カーネルモジュールに署名することもできます。
これを行う方法の簡潔な説明は次のとおりです。https://askubuntu.com/a/768310/134479
apt-file search sign-file
。カーネルバージョン4.4.0-28までの結果のみを返します。コンパイルする必要があると思われる.cファイルを見つけましたが、私の試みsudo make --directory=/usr/src/linux-headers-4.4.0-45/scripts/ sign-file
は不器用でした(おそらくsudo makeのためにugい)。現在のパッケージで署名ファイルツールをどのように構築し、OP(別のコメントを求めている)がNvidiaドライバーに署名する方法を教えてください。更新された投稿がgorka.eguileor.comで公開されたことに注意してください。
sign-file
では/usr/src/linux-headers-4.4.0-45/scripts
どちらか、とまだ私は作品を使用するスクリプト。え?悪魔は詳細にあります:スクリプトはにあり/usr/src/linux-headers-4.4.0-45-generic/scripts
ます。つまり、モジュールにサインインするには/lib/modules/$KVER/updates/dkms
、を使用します/usr/src/linux-headers-$KVER/scripts/sign-file
。
はい、そうではありません。これは非常に意見の多い質問であり、Ubuntuに関するものではありません。それにもかかわらず、私は公平な方法で答えるために最善を尽くしますので、私は議論を開始せず、あなたがあなた自身の決定を下せるようにすることができます。
セキュアブートは、Microsoftによって署名されている場合にのみオペレーティングシステムの起動を許可するWindows 8以降のラップトップの機能です。これは、Appleが公式に署名されたアプリとファームウェアのみをiDeviceにインストールすることを許可するようなものです。通常、この機能はオフにできますが、常にではありません。Linuxで問題が発生する可能性があります。
セキュアブートのポイントは、ルートキットやその他のマルウェアなどが、悪意のある目的でブートプロセスをハイジャックするのを防ぐことです。これは、セキュアブートをオンにしておく必要があるかどうかを検討する必要がある場所です。AdBlockerやPrivacy Badgerなどを使用せずに多くの怪しいWebサイトにアクセスする場合は、それを保持するか、zwetsが示唆するようにNVIDIAモジュールに自分で署名することを検討してください。もちろん、ブラウジングが正常で安全な場合は、通常、セキュアブートは大丈夫です。
妄想レベルにも依存します。もしあなたがインターネットを持ちたくないなら、それがどれだけ安全でない可能性があるかという理由で、おそらくセキュアブートを有効にしておくべきでしょう。あなたが私のような人で、複数のサイトで同じパスワードを使用している場合は、無効にしてください。
セキュアブートについて特別なことはあまりありません。(正直なところ、ルートキットがそれをバイパスすることはそれほど難しくないように思えます。)しかし、それは本当にあなたがセキュリティについてどのように感じるかに依存します。