이 게시물에서 VernonB가 설명한 것과 동일한 문제가 발생했습니다.Linux에서 MOK를 사용하는 방법은 무엇입니까? 보안 부팅도 비활성화했습니다. 하지만 Ubuntu 및 Nvidia 드라이버를 다시 설치하면 향후 이 mok 비밀번호에 문제가 발생하는지 알고 싶습니다.
답변1
보안 부팅을 비활성화하는 것은 펌웨어 설정입니다(보안 부팅을 사용하는 모든 시스템에는 레거시 BIOS가 아닌 UEFI가 있지만 "BIOS 설정").
따라서 펌웨어 설정을 재설정(이전 이름: "CMOS 재설정")하거나 시스템 펌웨어 업데이트("BIOS 업데이트")를 수행하고 업데이트가 펌웨어 설정을 다시 활성화하지 않는 한 보안 부팅은 비활성화된 상태로 유지되어야 합니다.
운영 체제 또는 Nvidia 드라이버를 다시 설치해도 보안 부팅 상태에는 영향이 없습니다.
"MOK 비밀번호"는 종종 오해되는 것 같습니다.
시스템에서 보안 부팅이 활성화된 경우 Ubuntu는 보안 부팅을 위한 MOK(머신 소유자 키)를 자동으로 생성하고 등록합니다. 등록 프로세스는 운영 체제가 실행되는 동안 시작될 수 있지만, 등록 프로세스에서는 MOK를 등록하는 명령이 사용자인 것처럼 가장하는 프로그램이 아니라 실제로 사용자로부터 오는지 확인해야 하므로 완료할 수 없습니다.
따라서 Ubuntu가 MOK를 생성할 때 MOK 등록 프로세스를 완료하려면 일회용 비밀번호를 설정해야 합니다. 다음에 부팅할 때 Secure Boot는 먼저 shimx64.efiSecure Boot 로더에서 Microsoft 서명을 확인한 다음 shimx64.efiMOK 등록 프로세스가 시작되었는지 감지합니다. 부팅 프로세스가 중단되고 파란색 MOK 관리자 화면이 표시됩니다. MOK 등록 프로세스를 완료하기로 선택하면 다시 시작하기 전에 설정한 비밀번호를 입력하라는 메시지가 표시되어 1.) 귀하가 프로세스를 시작한 사용자인지, 2.) 실제로 MOK 등록을 완료할 것인지 확인합니다. 프로세스.
그 후에는 "MOK 비밀번호"가 더 이상 필요하지 않으며 해당 작업이 완료됩니다. 어떤 이유로든 시스템 펌웨어 설정을 재설정하여 MOK가 손실된 경우 처음부터 MOK 등록 프로세스를 다시 실행해야 합니다.
실제 MOK는 /var/lib/shim-signed/mok/생성 후 디렉터리에 위치하게 됩니다. 이는 두 부분으로 구성된 암호화 키입니다. 공개 부분이라고도 함자격증MOK.der, 파일 에 있을 것입니다 . 시스템 펌웨어에 등록되는 부분입니다. DER 형식의 X.509 인증서를 처리할 수 있는 명령을 사용하여 사람이 읽을 수 있는 형식으로 볼 수 있습니다. 예를 들면 다음과 같습니다.
sudo openssl x509 -inform DER -in /var/lib/shim-signed/mok/MOK.der -noout -text
개인적인 부분은 다음과 같습니다.오직이 MOK.priv파일은 루트만 읽을 수 있습니다. 보안 부팅이 활성화되면 다른 커널 및 모듈 관리 도구는 필요에 따라 자동으로 이 파일을 사용하여 dkms설치 프로세스의 일부로 Nvidia 드라이버 모듈에 서명합니다.