Secure Boot è una funzione che serve a proteggere il computer da programmi pericolosi che potrebbero danneggiarlo. Impedisce, infatti, l’avvio di software non autorizzati sul PC. Questa funzionalità di sicurezza è supportata da Windows e da alcune versioni di Linux, come Ubuntu e Fedora. Arch Linux non ha di default abilitato il secure boot e quindi dobbiamo eseguirlo manualmente in pochissimi passaggi.
Secure Boot è una funzione di sicurezza disponibile sulla maggior parte dei computer moderni – e sulla maggior parte delle schede madri, nel caso dei PC desktop – che impedisce a malware e altri software malevolo di manomettere il sistema operativo installato sul computer in questione, eseguendo se stessi durante la procedura di avvio, prima del caricamento del sistema operativo. Se tutto va bene e la procedura di avvio va come previsto, UEFI dà il controllo al sistema operativo dopo l’avvio del sistema.
Configuriamo Arch Linux/EndeavourOS al primo setup che ci consentirà di installare le chiavi personalizzate. Per prima cosa dobiamo riavviare ed enatre sul nostro bios:
sudo systemctl reboot --firmware-setup
Si aprirà la seguente schermata:
Seguire le indicazioni come riportato sull’immagine e salvate le impostazioni. Riavviate e appena arrivate sul desktop aprire il terminale e scrivere quanto segue:
sudo pacman -S sbctl
Per Arch Linux seguire questo comando
sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=GRUB --modules="tpm" --disable-shim-lock
Per EndeavourOS seguire questo comando
sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=endeavouros --modules="tpm" --disable-shim-lock
Creaiamo le chiavi che ci serviranno
sudo sbctl create-keys
Ora facciamo l’enroll delle chiavi
sudo sbctl enroll-keys -m
Ora segniamo le chiavi come segue
sudo sbctl sign -s /boot/vmlinuz-linux
sudo sbctl sign -s /boot/efi/EFI/GRUB/grubx64.efi
sudo sbctl sign -s /boot/efi/EFI/endeavouros/grubx64.efi
Riavviamo ed abilitiamo il secure boot. Appena avviato il sistema da terminale date il comando
sudo sbctl status
