セキュアブートを無効にしても安全ですか?[閉まっている]


16

最新のNvidia Graphics Driverをインストールする目的でセキュアブート無効にしても安全かどうかを知りたかっただけです。

私が実行しているWindowsの10と一緒のUbuntu 16.04をエイサー熱望Vニトロ。それぞれが同じHDD上に独自のパーティションを持っています。


回答:


21

セキュアブートでは、WindowsとUbuntuの両方で、すべてのシステムレベルドライバーが「署名」されている必要があり、本物のソフトウェアとして承認されていることが証明されます。アイデアはかなり良く、Windowsでは、Microsoftはほとんどのドライバーに署名します。

ただし、Ubuntuでは、ワイヤレスカード、ビデオカード、または専用ハードウェア用の特別なドライバーが必要になる場合があります。これらのドライバーは、多くの異なるソースから提供される可能性があるため、通常は署名されていません。セキュアブートが有効で、ドライバーが署名されていない場合、これらのドライバーは読み込まれません。それらをロードするには、各ドライバーに「署名」する必要があります。ドライバーに署名するこのプロセスはそれほど難しくありませんが、特にドライバーを変更/更新する場合、またはUbuntuの一部であるカーネルソフトウェアを変更/更新する場合は、面倒な場合があります。変更するたびに、ドライバを辞任する必要があります。

だから、これを想像してください...あなたのシステムは正常に動作しています...セキュアブートが有効になっています...あなたのドライバーはすべて適切に署名されています...そしてUbuntuのソフトウェアアップデーターを使用して新しいカーネルをインストールします...またはインストールします新しいドライバ...そしてシステムを再起動すると、ワイヤレスカードが機能しなくなったり、ビデオカードが正しく表示されなかったり、特殊なハードウェアが機能しなくなったりすることがわかります。ここで、すべてのモジュールを再コンパイルして再署名する必要があります。楽しくない。

私のシステムでは、Ubuntuカーネルが更新されるたびに再署名が必要になる5つのカスタムDKMSドライバーモジュールを使用しています。あら

短い話...セキュアブートを無効にして幸せになります。Windowsは気にせず、Ubuntuはソフトウェアの更新とドライバーのインストールをあなたの側でより少ない作業で生き残ります。


入力いただきありがとうございます!セキュアブートを無効にした後、一部の人々がWindowsを再起動できないという箇所を読みました。これはどの程度真実ですか?さらに、セキュアブートを無効にすると、コンピューターがウイルスに感染する可能性はどのくらいになりますか?
-VihanAgarwal

1
セキュアブートを無効にしたWindows 8、8.1、および10を簡単に使用しました。私は他の人の経験と話すことができません。ウイルス?優れたウイルス保護プログラムがあり、マルウェアをインストールしようとする電子メールまたはWebページのリンクをクリックしない場合は、おそらく大丈夫です。私の意見。
ヘイネマ

2

セキュアブートをオフにしても安全かどうかは、セキュリティ要件によって異なります。ただし、セキュアブートをオフにする代わりに、カーネルモジュールに署名することもできます。

これを行う方法の簡潔な説明は次のとおりです。https//askubuntu.com/a/768310/134479


ヘッドアップをありがとう。ただし、linux-headers / scriptディレクトリでsign-fileを見つけることができませんapt-file search sign-file。カーネルバージョン4.4.0-28までの結果のみを返します。コンパイルする必要があると思われる.cファイルを見つけましたが、私の試みsudo make --directory=/usr/src/linux-headers-4.4.0-45/scripts/ sign-fileは不器用でした(おそらくsudo makeのためにugい)。現在のパッケージで署名ファイルツールをどのように構築し、OP(別のコメントを求めている)がNvidiaドライバーに署名する方法を教えてください。更新された投稿がgorka.eguileor.comで公開されたことに注意してください。
LiveWireBT

1
@LiveWireBTこれは私を困惑させました!私は何を持っていないsign-fileでは/usr/src/linux-headers-4.4.0-45/scriptsどちらか、とまだ私は作品を使用するスクリプト。え?悪魔は詳細にあります:スクリプトはにあり/usr/src/linux-headers-4.4.0-45-generic/scriptsます。つまり、モジュールにサインインするには/lib/modules/$KVER/updates/dkms、を使用します/usr/src/linux-headers-$KVER/scripts/sign-file
-zwets

1

はい、そうではありません。これは非常に意見の多い質問であり、Ubuntuに関するものではありません。それにもかかわらず、私は公平な方法で答えるために最善を尽くしますので、私は議論を開始せず、あなたがあなた自身の決定を下せるようにすることができます。

セキュアブートは、Microsoftによって署名されている場合にのみオペレーティングシステムの起動を許可するWindows 8以降のラップトップの機能です。これは、Appleが公式に署名されたアプリとファームウェアのみをiDeviceにインストールすることを許可するようなものです。通常、この機能はオフにできますが、常にではありません。Linuxで問題が発生する可能性があります。

セキュアブートのポイントは、ルートキットやその他のマルウェアなどが、悪意のある目的でブートプロセスをハイジャックするのを防ぐことです。これは、セキュアブートをオンにしておく必要があるかどうかを検討する必要がある場所です。AdBlockerやPrivacy Badgerなどを使用せずに多くの怪しいWebサイトにアクセスする場合は、それを保持するか、zwetsが示唆するようにNVIDIAモジュールに自分署名することを検討してください。もちろん、ブラウジングが正常で安全な場合は、通常、セキュアブートは大丈夫です。

妄想レベルにも依存します。もしあなたがインターネットを持ちたくないなら、それがどれだけ安全でない可能性があるかという理由で、おそらくセキュアブートを有効にしておくべきでしょう。あなたが私のような人で、複数のサイトで同じパスワードを使用している場合は、無効にしてください。

セキュアブートについて特別なことはあまりありません。(正直なところ、ルートキットがそれをバイパスすることはそれほど難しくないように思えます。)しかし、それは本当にあなたがセキュリティについてどのように感じるかに依存します。


これは本当に役に立ちます!私はアドブロックを持っていますが、アドウェアやマルウェアがたくさんあるたくさんのウェブサイトを訪れ、パッケージに署名したいと思います。そうは言っても、zwetsが投稿したリンクを調べましたが、具体的なものではありませんでした。モジュールに署名する方法について少し教えてもらえますか?
-VihanAgarwal
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.