systemd-boot met secure boot
Geschreven op en voor het laatst bijgewerkt op
Inhoudsopgave
Inleiding
Deze handleiding neemt je mee door het proces om je geconverteerde naar systemd-boot Fedora Linux installatie verder te beveiligen met secure boot. Het volgen van deze handleiding heeft geen zin als je een standaard installatie van Fedora Linux gebruikt!
Lees ook de algemene inleiding van deze serie.
Configuratie systeem en eigen sleutel(s) aanmaken
Het configureren van je eigen secure boot sleutels is met de geïnstalleerde tool ukify makkelikjk. Het configuratiebestand hiervoor is /etc/kernel/uki.conf. Standaard bestaat dit bestand niet, dus om het aan te maken doe het volgende in de terminal:
sudo touch /etc/kernel/uki.conf
En zorg dat het het volgende heeft
[UKI]
SecureBootSigningTool = sbsign
SecureBootPrivateKey = /etc/keys/secureboot-private-key.pem
SecureBootCertificate = /etc/keys/secureboot-certificate.pem
Nadat je dit gedaan hebt is de volgende stap het aanmaken van de net genoemde sleutel(s). Om dat te doen doe het volgende in de terminal:
sudo ukify genkey --config /etc/kernel/uki.conf
Ondertekenen bestanden met de nieuwe sleutel(s)
Nu je een set sleutels hebt aangemaakt is het tijd om ze te gaan gebruiken. Om bij het spreekwoordelijke begin te beginnen: de bootloader.
Om die te ondertekenen doe het volgende in de terminal:
sudo sbsign --key /etc/keys/secureboot-private-key.pem --cert /etc/keys/secureboot-certificate.pem --output /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi
sudo sbsign --key /etc/keys/secureboot-private-key.pem --cert /etc/keys/secureboot-certificate.pem --output /usr/libexec/fwupd/efi/fwupdx64.efi.signed /usr/libexec/fwupd/efi/fwupdx64.efi
Herinstalleren bootloader
Na het ondertekenen van de bestanden van systemd-boot is het nodig om dit opnieuw te installeren, zodat de ondertekende versie ook echt gebruikt word.
Om dat te doen doe het volgende in de terminal:
sudo bootctl install --secure-boot-auto-enroll yes --private-key /etc/keys/secureboot-private-key.pem --certificate /etc/keys/secureboot-certificate.pem
Configuratie fwupd
Eén van de dingen die ook geconfigureerd moet worden is fwupd. Dit is niet nodig om je systeem te starten, maar is dat wel als je firmwareupdates wilt kunnen installeren.
De standaard configuratie van fwupd houd geen rekening met je aangepaste bootloader configuratie, en zal standaard ook niet werken. Om dit recht te trekken hoef je alleen de volgende regel(s) toe te voegen aan /etc/fwupd/fwupd.conf:
[uefi_capsule]
DisableShimForSecureBoot = true
(Opnieuw) genereren kernel(s)
Als laatste stap moeten ook de kernels opnieuw gegenereerd worden om ook gebruik te maken van de secure boot sleutel(s). Om dat te doen doe je het volgende in de terminal:
sudo kernel-install add-all