보안 부팅을 통해 Debian 12에서 UEFI를 부팅하는 데 문제가 있습니다.
이것은 MSI Meg Z490 Unify 마더보드에 있습니다. GPU는 AMD WX3200입니다. 표준 모드에서 보안 부팅을 활성화하고 기본 키를 로드합니다. 테스트는 GPU 연결을 끊고 10세대 i3의 온보드 그래픽을 사용하여 수행되었습니다.
처음에 Secureboot를 활성화한 상태로 Debian을 설치했지만 성공적으로 설치하고 재부팅한 후 BIOS 화면에 아무 것도 나타나지 않았습니다. 마더보드가 서명되지 않았기 때문에 부트로더 실행을 거부했기 때문이라고 생각합니까? 그래서 왜 기본 데비안 설치(Secureboot를 지원해야 함)가 새로 설치에서 작동하지 않는지 잘 모르겠습니다. Secureboot를 비활성화하고 시스템으로 정상적으로 부팅했습니다. efibootmgr -v사용 중이며 shimx64.efi심 서명된 패키지가 설치되어 있음을 나타냅니다.
그런 다음 보안 부팅을 다시 활성화하고 shimx64.efiUEFI 허용 서명에 추가한 다음 GRUB 화면으로 이동하여 커널을 로드하려고 하면 shim_lock protocol not foundshim 서명 패키지 때문에 .설치됨그리고 표시 efibootmgr -v되었습니다 shimx64.efi.
그런 다음 몇 가지 다른 설정 조합, 표준 모드의 기본 키, 사용자 정의 모드의 기본 키, 서명 추가 및 추가 안 함 shimx64.efi, 추가 shimx64.efi및 grubx64.efi서명, 블랙리스트에 있는 서명 제거를 시도했습니다.
하지만 내 질문과 관련하여 MSI BIOS 보안 부팅 섹션에는 사용자 정의 모드의 전체 키 섹션이 있어 자체 플랫폼 키, 허용된 서명 등을 추가할 수 있습니다.
Debian UEFI 서명 CA 인증서를 허용된 서명 및/또는 플랫폼 키에 업로드하고 GRUB를 직접 부팅할 수 없는 이유는 무엇입니까?
허용된 서명에 Debian CA를 로드해 보았습니다. 키가 변수에 성공적으로 추가되고 nvram에 저장된 것으로 표시되지만 GRUB를 시작한 후(검증을 사용하여 시스템에서 shim을 제거한 후이어야 함 efibootmgr -v) 동일한 오류가 발생합니다 shim_lock procotol not found.
이는 SecureBoot UEFI가 실제로 Microsoft에서 서명하지 않은 부트로더를 로드한다는 의미입니까? shim 서명된 패키지를 제거한 후 커널 이미지에 대해 어떤 조치를 취해야 합니까(시스템은 shim 및 보안 부팅 종료 없이 정상적으로 부팅됩니까?)
이것이 작동하지 않는다는 것을 알지만, 왜 안 될까요? 부트로더를 인증하는 데 키를 사용하지 않는데 보안 부팅에 키를 추가하는 이유는 무엇입니까?
또한 부가적인 질문으로, 이 MSI 마더보드에 스페이서를 사용하는 방법에 대한 제안이 있는 사람이 있습니까?
새로운 발견:
일부 수정 후 결과적으로 보안 부팅 섹션에서 모든 키를 제거하고 플랫폼 키와 키 교환 키에 Debians 키만 추가(어느 것인지, 둘 다 추가)하면 PC가 작동할 수 없는 무한 전원 주기가 발생합니다. BIOS 화면으로 이동합니다(제어하려면 cmos를 재설정해야 함).