网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
archlinux吧 关注:15,596贴子:124,121
  • 8回复贴,共1

小记:Arch配置grub安全启动并允许加载字体文件

当前,Arch Linux上的Grub在安全启动功能启用的情况下不允许加载未签名的字体,但是sbcti不能对字体文件签名,通过查找资料可知需要用Gnupg密钥对字体文件签名,而且要把公钥嵌入到grub的EFI镜像中,然后使用GnuPG签名字体文件即可获得单独的签名文件,我为方便使用就把这些步骤组合到一个sh脚本中,按脚本提示输入对应信息即可。

图1(异常的grub菜单界面)

图2 (正常的grub菜单界面)

图3 (“带公钥和签名的grub镜像”生成脚本)
脚本的链接:https://pan.baidu.com/s/1eoxZ-54jRPXoGL4IKrM_7g?pwd=bw4d 提取码:bw4d (文件名:CreateSignedGrub2.sh)


我的在安全启动的情况下,不仅可以用其他字体,还可以更换主题。这是怎么回事呢


*下面的教程是搬Arch Linux论坛上的
请先备份grubx64.efi, unicode.pf2和其他受改动的文件
首先创建一个文件夹并打开它
mkdir GrubMake
cd GrubMake
然后创建所需的GnuPG密钥 (密钥类型选择RSA 和 RSA *1)
mkdir --mode 0700 keys
gpg --homedir keys --full-gen-key
gpg --homedir keys --export > boot.key
创建一个grub.init.cfg,包含以下内容:
——分隔线——
set check_signatures=enforce
export check_signatures
search --no-floppy --fs-uuid --set=root "你的引导分区的 UUID"
configfile /grub.cfg # 把这项改成你的grub.cfg文件所在位置 例如 /@boot/boot/grub/grub.cfg使用btrfs设置 或者/boot/grub/grub.cfg,使用xfs文件系统的根目录分区
echo /grub.cfg did not boot the system, rebooting in 10 seconds.
sleep 10
reboot
——分隔线——
之后用下列脚本生成一个grub镜像:
———分隔线———
#!/bin/bas
TARGET_EFI='path/to/grubx64.efi'(grub镜像的位置)
# 启用安全启动后,grub不允许从硬盘中加载模块
# 所以需要提前加载所需的模块(测试发现只加载模块part_msdos part_gpt也能正常启动)
# 模块列表来源于Arch Linux UEFI/Secure Boot wiki
MODULES="all_video boot btrfs cat chain configfile echo efifwsetup efinet ext2 fat font gettext gfxmenu gfxterm gfxterm_background gzio halt help hfsplus iso9660 jpeg keystatus loadenv loopback linux ls lsefi lsefimmap lsefisystab lssal memdisk minicmd normal ntfs part_apple part_msdos part_gpt password_pbkdf2 png probe reboot regexp search search_fs_uuid search_fs_file search_label sleep smbios squash4 test true video xfs zfs zfscrypt zfsinfo play cpuid tpm cryptodisk luks lvm mdraid09 mdraid1x raid5rec raid6rec"
grub-mkstandalone --directory /usr/lib/grub/x86_64-efi --format x86_64-efi --modules "$MODULES" --pubkey ./boot.key --sbat /usr/share/grub/sbat.csv--output ./grubx64.efi "boot/grub/grub.cfg=./grub.init.cfg" "boot/grub/grub.cfg.sig=./grub.init.cfg.sig"
echo "writing signed grub.efi to '$TARGET_EFI'"
sudo cp ./grubx64.efi "$TARGET_EFI"
———分隔线———
用和安全启动相关的密钥签名grub镜像,比如shim 机器所密钥(Machine Owner Key)MOK
sudo sbsign --key /path/to/.key/file --cert /path/to/.crt/file --output /esp/path/to/grubx64.efi /esp/path/to/grubx64.efi
把文件 unicode.pf2和 unicode.pf2.sig复制回/boot/grub/fonts/
cp unicode.pf2 unicode.pf2.sig /boot/grub/fonts/


前两天刚刚因为这个原因把grub换成了systemd-boot


如果我要更换主题,是不是还要把主题文件的所有问题全部签名了
我之前用这种方法好像还要把vmlinuz文件也上gpg签名


说明:如果单独分了/boot分区,那么配置文件路径应该在/grub/grub.cfg而不是/boot/grub/grub.cfg


扫二维码下载贴吧客户端

下载贴吧APP
看高清直播、视频!
  • 8回复贴,共1
分享到: