%EC%9D%84%20%EC%9C%84%ED%95%B4%20%EC%82%AC%EC%9A%A9%EC%9E%90%20%EC%A0%95%EC%9D%98%20%EC%84%9C%EB%AA%85%EB%90%9C%20shim%EC%9D%84%20%EC%82%AC%EC%9A%A9%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
이에 대한 가이드가 있는지는 확실하지 않지만 다음 목표를 달성하는 데 관련된 세부 단계를 알고 싶습니다(단계별 가이드일까요?).
- 사용자 정의 CA 개인 키로 shim을 다시 서명하되 여전히 shim이 Fedora 부팅 CA 공개 키를 사용하여 보안 부팅 커널 구성 요소를 확인하도록 합니다.
- 펌웨어에 저장된 Microsoft 키를 해당 사용자 지정 CA 공개 키(개인 키는 shim 서명에 사용됨)로 교체합니다.
제가 달성하고 싶은 주요 목표는 펌웨어에 저장된 기본 제공 Microsoft CA 인증서를 교체하여 Microsoft 서명 운영 체제 부트로더의 실행을 비활성화하고 여전히 UEFI의 보안 부팅 기능을 사용하여 F19를 부팅하는 것입니다. 일반적인 개요는이 링크, 하지만 이에 대한 자세한 가이드를 찾을 수 없습니다.
답변1
나는 당신이 이 과정을 따를 수 있다고 생각합니다:
- 시스템에 대한 키를 생성합니다. 나에게 알려진 좋은 프로세스는 다음과 같습니다.이것
- 이제 이 서명을 사용하여 shim.efi에 서명할 수 있습니다. 주어진 링크에 언급된 대로 서명에 pesign을 사용하십시오.
- 이제 작동할 것입니다. 그렇지 않으면 새 서명으로 다른 바이너리에도 서명해야 할 수 있습니다.
하지만 shim.efi에서 MS 인증서를 제거하면 손상될 수 있다는 우려가 있습니다. 당신은 독서에 관심이 있을 수 있습니다이것자세한 내용은 링크를 참조하세요.
참고하실 수 있도록 다음 사항을 요약했습니다.
포인트 #1
많은 사용자가 자신만의 커널을 만들고 싶어합니다. 어떤 사람들은 자신만의 배포판을 만들고 싶어하기도 합니다. 부트로더와 커널에 서명하는 것이 장애물이었습니다. 우리는 바이너리 서명을 위한 모든 도구를 제공할 것이지만 명백한 이유로 키를 배포할 수는 없습니다. 여기에는 세 가지 방법이 있습니다. 첫 번째는 사용자가 자신의 키를 생성하여 시스템 펌웨어에 등록하는 것입니다. 우리는 펌웨어에 있는 키로 서명된 모든 것을 신뢰합니다. 두 번째는 설치된 키를 사용하여 심 로더를 재구축한 다음 99달러를 지불하고 Microsoft에 서명하는 것입니다. 이는 다른 사람에게 사본을 제공하고 별도의 조치 없이 설치하도록 할 수 있음을 의미합니다. 세 번째 방법은 보안 부팅을 완전히 비활성화하는 것입니다. 이 시점에서 머신은 현재와 동일한 자유 세트를 다시 부여받아야 합니다.
포인트 2:
사용자 정의 모드의 시스템에서는 기존 키를 모두 삭제하고 자신의 키로 교체할 수 있습니다. 그런 다음 Fedora 부트로더에 다시 서명하면(앞서 말했듯이 이에 대한 도구와 문서가 제공됩니다) Fedora를 부팅할 수 있지만 Microsoft 코드 부팅을 거부하는 컴퓨터를 갖게 됩니다. 데스크톱의 경우 그래픽 카드 및 네트워크 카드에서 Microsoft 서명 UEFI 드라이버를 처리해야 할 수 있으므로 다소 어색할 수 있지만 해결할 수 있는 문제입니다. 설치된 드라이버를 자동으로 화이트리스트에 추가할 수 있는 도구를 구현하려고 합니다. 펌웨어 백도어가 존재하지 않는 한, 컴퓨터가 신뢰할 수 있는 소프트웨어만 실행하도록 보안 부팅을 구성할 수 있습니다. 자유란 실행하고 싶은 소프트웨어를 실행할 수 있다는 의미지만, 실행하고 싶지 않은 소프트웨어를 선택할 수 있다는 뜻이기도 합니다.