En la instalación inicial de Ubuntu 16.04, marqué "Instalar software de terceros" y, debajo de él, se me solicitó que marcara otra opción que permitiría que el paquete del sistema operativo deshabilitara automáticamente el arranque seguro por sí solo, un requisito previo que era creando una contraseña que de alguna manera permitiría que ocurriera todo este proceso.
Después de continuar con la instalación, nunca recibí ninguna indicación de que se hubiera producido esta desactivación del arranque seguro, ni se me pidió que ingresara la contraseña que había creado.
Tras la instalación exitosa del sistema operativo, reinicié mi computadora y revisé el BIOS. En BIOS, el arranque seguro todavía estaba habilitado. Sin embargo, en Ubuntu, puedo reproducir archivos MP3 y Flash sin problemas, lo que supongo que indica que la instalación de software de terceros fue exitosa.
Todavía no me he encontrado con ningún problema (aparte del hecho de que la interfaz de usuario ha sido un poco delicada y con errores a veces), pero me gustaría saber qué demonios logré realmente al crear esa contraseña.
¿Qué pasó con la contraseña que creé? ¿Tendré que recordarlo por alguna razón? No es lo mismo que mi contraseña de inicio de sesión / sudo.
¿Ubuntu ha editado permanentemente mi BIOS para hacer una excepción por sí mismo? Si es así, ¿cómo puedo ver estos cambios y potencialmente deshacerlos? ¿Es ahí donde entraría la contraseña?
¿Por qué Ubuntu necesita deshabilitar / omitir el arranque seguro para instalar el paquete ubuntu-restricto-extras de todos modos? ¿Está bien mi instalación? ¿Me he preparado para futuros problemas? ¿Debo intentar reinstalar con el inicio seguro deshabilitado manualmente para no recibir ese aviso en primer lugar?
Información adicional: estoy ejecutando un sistema UEFI y estoy arrancando Ubuntu 16.04 junto con Windows 10.
Otro usuario ha hecho una pregunta sobre un problema similar aquí. A diferencia de este usuario, no recibo una advertencia sobre "arrancar en modo inseguro", pero también me gustaría saber si Ubuntu ha creado una excepción para sí mismo y cómo podría manejar tales excepciones. A diferencia de mí, este usuario no ha mencionado nada sobre tener que crear una contraseña.
fuente
hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c
. El último dígito en la primera línea (0 o 1) indica su estado de arranque seguro (inactivo o activo).0000000 0006 0000 0001 0000005
Parece que definitivamente está activo. Tenga en cuenta que lo he deshabilitado y lo he vuelto a habilitar un par de veces para ver si sucede algo, y nada sucedió. Una vez más, todo está funcionando bien hasta ahora, mi único temor es que algo salga mal en algún momento en el futuro. Después de leer cierta documentación, parece que la contraseña temporal está destinada a actuar como una especie de sustituto para un arranque seguro en lugar de que Ubuntu admita directamente la función en sí. Teniendo en cuenta que nunca me lo volvieron a pedir, mi mejor suposición es que la función está incompleta / con errores.Respuestas:
UEFI Secure Boot protege su cargador de arranque de ser manipulado mediante el uso de una combinación de claves CA y firmas en los archivos de arranque. Microsoft, por ejemplo, ha firmado cargadores de arranque para los cuales las claves de CA ya están presentes en el firmware UEFI de la mayoría de las PC.
Esto solo protege el núcleo inicial del cargador y nada después. Por ejemplo, initrd (initramfs) no está protegido, ni nada después (GRUB, kernel, módulos, controladores, cualquier cosa en el espacio de usuario, etc.).
El software de terceros que instaló PUEDE haber incluido cierto código PCI o RAID de bajo nivel requerido para el cargador de arranque, por lo que debe crear una contraseña, que creará una clave en el espacio del firmware UEFI. Después de las modificaciones, si el sistema nota algo diferente en el momento del arranque, el BIOS se detendrá en POST y le pedirá la misma contraseña que ingresó durante la instalación para demostrar que usted es quien instaló el software. Este método asegura que un usuario sentado físicamente en la computadora está ingresando esta contraseña como confirmación ya que no se puede cargar ningún software en el momento de la POST del BIOS para falsificar esto.
Para la mayoría de los sistemas de usuario, el arranque seguro hace poco para protegerlo. No previene virus o malware, ni la instalación de esos. Todo lo que hace es evitar la manipulación del gestor de arranque de bajo nivel, que generalmente se evita mediante la seguridad básica del antivirus o del sistema operativo de todos modos. En mi opinión, y de acuerdo con la mayoría de la documentación, se puede desactivar de forma segura.
fuente