我知道我可以重新启动,进入UEFI固件(以前是BIOS)设置,并寻找启用UEFI启动和强制安全启动的选项。然而,假设已经启动了系统(例如,一个我不想重新启动的服务器),我要如何确定Ubuntu是否已经安全启动?
我知道有一个关于EFI启动的问题(另一个问题),我觉得它很有用。我也读过这篇文章,了解Ubuntu如何实现UEFI安全启动(令人惊讶的是,借助了微软的协助)。然而,这些来源并没有回答我的问题。我知道如果系统尝试进行安全启动,但失败了,它会重新启动。我要如何确定shim和后续的引导加载程序是如何验证引导加载程序链条(包括Linux内核)的呢?
如果能够查看哪些证书机构(例如Microsoft和Canonical)用于验证引导加载程序,那就更好了。
谢谢!
mokutil
或类似工具以获取用于shim和grub二进制文件的特定密钥签名信息。 - rlhelinskimokutil --list-enrolled
的输出中找到。 - rlhelinski