mozna to je zrejmy ale vis ze audit mode dela presne tohle a ty bys cekal asi deployed mode? (nastaveni secure bootu)
Nene, ja to zkousel na desce od MSI - a UEFI od MSIcka bylo toho casu defaultne nastaveno tak, spoustelo i veci nepodepsane.
V novejsich BIOSech (2023+) pridali menu Image Execution Policy, kde clovek muze menit Always Execute vs Deny Execute nepodepsanych veci, avsak tahle moje deska mela posledni BIOS vyrazne starsi.
Krasny haluze, co clovek obcas potka. :-)
https://us.msi.com/blog/statement-on-secure-bootOba stroje jsou schopne nabootovat fedoru s nfsroot pomoci dhcp -> tftp/shim ->tftp/grub -> tftp/vmlinuz+initrd -> dhcp -> nfsroot
Dekuji prevelice za detailni info! Tohle zni jako dobra zprava. V tydnu to prubnu.
Takze si myslim, ze ten podepsanej ipxe od toho broadcomu muze spoustet pouze veci podepsane broadcomem.
A to fedora kernel asi neni.
Z toho, co jsem se docetl, je pro Linux se Secure Bootem typicky potreba:
[v mem pripade navic] podepsany ipxe (ten od Broadcomu je podepsany od Microsoft Windows UEFI Driver Publisher) => ten dokaze natahnout podepsany shim (rovnez podepsany od Microsoft Windows UEFI Driver Publisher, tj. pokud masina nabootuje podepsany ipxe, nutne musi umet nabootovat i tento shim) => podepsany grub (podepsany od Debian Secure Boot Signer 2022 - grub2) => vmlinuz (podepsany od Debian Secure Boot Signer 2022 - linux).
Cili MS-podepsany shim zajistuje podporu/"znalost" tech debianich podpisu v dalsich fazich.
A nakolik je shim podepsany, jeho chovani je takove, ze hleda grubx64.efi v "aktualnim umisteni" (a s HTTP delat neumi), takze bez obezlicky v podobe TFTP prave pro shim a grub se nehnu.
Proti tomu pokus o boot primo grubu nebo vmlinuz selze, protoze defaultni klice pro Secure Boot neznaji Debiani podpisy.
Takhle mi to nejak dava smysl a odpovida to i vysledkum tohodle pokusu.
Jeste jednou dekuji.
Poslední příspěvky
