AFAIK Saya hanya memiliki satu file MOK.priv sejak saya mulai menggunakan secureboot di Bionic.
Pembaruan kernel minggu lalu (seperti biasa) meminta saya untuk membuat kata sandi MOK dan memasukkan kembali kata sandi ini di layar pendaftaran MOK saat boot up. Tapi saya melewatkan layar pendaftaran (untuk pertama kalinya).
Sejak itu saya dapat mendaftarkan kunci MOK dan menandatangani modul kernel yang diperlukan, mengaktifkan kembali boot aman. Saya kemudian menemukan kunci MOK "yatim piatu" di mesin saya. Mungkin kehilangan pendaftaran menyebabkan saya berakhir dengan satu kunci MOK lagi? Atau mungkin tidak, karena tanggalnya Agustus tahun lalu.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
File MOK yang saya tahu saya miliki adalah pasangan pertama. Pasangan kedua adalah berita bagi saya.
File MOK tidak boleh dibiarkan tersedia di mesin. Saya mungkin bisa mengenkripsi kunci ke-2, tapi
a) Saya tidak nyaman menyentuh file di /var/lib/shim-signed/ dan
b) Saya ingin menyimpan satu file MOK di mesin (dan terdaftar di BIOS)
Lebih buruk lagi, hari ini saya harus menginstal pemutakhiran ke agen pencadangan Acronis (yang bergantung pada snapapi26, modul kernel) dan sekarang memiliki lebih banyak file MOK (meskipun ekstensinya berbeda, menurut saya MOK.secdata adalah a kunci)
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
Saya ingin memiliki satu (terenkripsi) MOK.priv dan MOK.der di mesin saya. Bagaimana cara "menggabungkan" kunci MOK ini menjadi satu (berdasarkan ukuran saja Anda dapat melihat bahwa mereka tidak identik)? Jika ini tidak memungkinkan, apakah saya memerlukan lebih dari satu kunci MOK? Jika tidak, mana yang harus saya simpan?
Catatan tambahan, dan tidak perlu menjawab pertanyaan utama saya:Saya sangat menghargai penjelasan (atau tautan ke salah satunya) tentang apa yang menyebabkan kunci MOK baru dibuat ketika Anda sudah memiliki kunci MOK yang berfungsi.
Pembaruan:boot ulang menampilkan layar pendaftaran MOK untuk kunci yang dibuat oleh Acronis. Tetapi tidak ada permintaan selama penginstal Acronis untuk menyiapkan kata sandi untuknya, jadi saya tidak dapat mendaftarkannya. Modul kernel yang diperlukan oleh Acronis telah diinstal dan ditandatangani, sehingga Anda dapat menghapus kunci Acronis dengan aman. Bisakah saya menghapus /var/lib/sb/MOK.* ?
Terkait:Bagaimana cara menginstal dan menggunakan PyCharm tanpa harus menggunakan terminal?Jawaban yang Diterima:
Saya menggunakan mokutil --list-enrolled untuk melihat kunci mana yang digunakan. Ada kunci yang saya buat, satu kunci untuk Penandatanganan Kode oleh Ubuntu dan kunci CA Ubuntu.
Karena Acronis sedang berjalan dan kunci yang dibuatnya tidak digunakan, saya menghapus `/var/lib/sb/MOK.*
Kemudian saya menjalankan mokutil --export yang memberi saya 3 kunci. Menjalankan perbedaan pada 3 kunci yang diekspor terhadap file der yang ada di mesin saya, saya menemukan bahwa kunci #1 adalah /root/keyfiles/MOK.der dan kunci #2 adalah /var/lib/shim-signed/mok/MOK.der . Jadi saya mengenkripsi /var/lib/shim-signed/mok/MOK.gpg.
Saya berakhir dengan 2 pasang, satu saya buat, satu dibuat Ubuntu. Saya akan membiarkan mereka apa adanya.
Saya harap layar pendaftaran tidak muncul lagi untuk kunci Acronis yang dihapus.
Sejauh kapan meminta untuk mendaftarkan kunci lain, jawabannya ada di suatu tempat di sini. Saya tidak mendalaminya.
PS:Jawaban ini sangat membantu.