Ubuntu 16.04를 처음 설치할 때 보안 부팅을 비활성화하기 위해 암호를 만들라는 이유는 무엇입니까?


30

Ubuntu 16.04를 처음 설치할 때 "타사 소프트웨어 설치"를 체크 아웃하고 그 아래 에서 OS 패키지가 자동으로 보안 부팅을 자동으로 비활성화 할 수있는 다른 옵션을 확인하라는 메시지가 표시되었습니다. 어떻게 든이 전체 프로세스를 수행 할 수있는 암호를 만듭니다.

설치를 계속 한 후,이 보안 부팅 비활성화가 발생했거나 생성 한 암호를 입력하라는 메시지가 표시되지 않았습니다.

OS를 성공적으로 설치하면 컴퓨터를 다시 시작하고 BIOS를 체크 아웃했습니다. BIOS에서 보안 부팅이 여전히 활성화되었습니다. 그러나 우분투에서 MP3 및 Flash 파일을 원활하게 재생할 수 있으며 타사 소프트웨어가 성공적으로 설치되었다고 가정합니다.

UI가 때로는 까다 롭고 버그가 있다는 사실을 제외하고는 아직 아무런 문제가 발생하지 않았지만 지구에서 실제로 암호를 만들어서 무엇을 달성했는지 알고 싶습니다.

내가 만든 비밀번호는 어떻게 되었습니까? 어떤 이유로 든 기억해야합니까? 내 로그인 / 스도 비밀번호와 다릅니다.

Ubuntu가 자체적으로 예외를 만들기 위해 BIOS를 영구적으로 편집 했습니까? 그렇다면 이러한 변경 사항을보고 취소 할 수있는 방법은 무엇입니까? 암호가 어디로 왔습니까?

어쨌든 우분투가 우분투 제한 엑스트라 패키지를 설치하기 위해 보안 부팅을 비활성화 / 우회 해야하는 이유는 무엇입니까? 설치해도 괜찮습니까? 미래의 문제에 대비해 스스로를 설정 했습니까? 처음에 해당 프롬프트가 표시되지 않도록 보안 부팅을 수동으로 비활성화 한 상태에서 다시 설치해야합니까?

추가 정보 : UEFI 시스템을 실행 중이며 Windows 10과 함께 Ubuntu 16.04를 이중 부팅하고 있습니다.

다른 사용자가 여기서 비슷한 문제에 대해 질문했습니다. 이 사용자와 달리 "안전하지 않은 모드로 부팅"에 대한 경고는받지 않지만 Ubuntu가 자체적으로 예외를 생성했는지 여부와 이러한 예외를 관리 할 수있는 방법을 알고 싶습니다. 본인과 달리이 사용자는 비밀번호를 작성해야하는 것에 대해 언급하지 않았습니다.

대화 상자를 복제했습니다.  여기있어.

몇 가지 추가 정보가 있습니다.


1
우분투 16.04는 아직 완전히 부팅하지 않은 보안 부팅 처리를 일부 변경했습니다. 그러나 내가 아는 것 중 일부는 이 질문에 대한 나의 대답에 있습니다. 명령에 대한 출력을보고 싶습니다 hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c. 첫 번째 줄의 마지막 숫자 (0 또는 1)는 보안 부팅 상태 (비활성 또는 활성)를 나타냅니다.
로드 스미스

1
0000000 0006 0000 0001 0000005확실히 활성화 된 것 같습니다. 나는 어떤 일이 일어날 지, 아무것도하지 않았는지 확인하기 위해 그것을 두 번 비활성화했다가 다시 활성화했습니다. 다시 말하지만, 지금까지 모든 것이 잘 돌아가고 있습니다. 내 유일한 두려움은 나중에 언젠가 무언가 잘못 될 수 있다는 것입니다. 일부 문서를 읽은 후 임시 비밀번호는 기능 자체를 직접 지원하는 Ubuntu가 아닌 보안 부팅을위한 일종의 대리 역할을하는 것으로 보입니다. 다시 요청하지 않은 것을 고려할 때 가장 좋은 추측은 기능이 불완전하거나 버그가있는 것입니다.
Cosmo

1
방금 전, 임시 부팅 암호가 보안 부팅의 대리자로 잘못되었을 수 있습니다. 그것이 내가 찾을 수 없었던 추가 정보가없는 것으로 이해할 수있는 전부입니다. 어떻게 생각해?
Cosmo

1
이 문제에 대해 더 이상의 생각이없는 것 같습니다. 이러한 최근 변경 사항을 조사하려면 시간과 노력이 필요합니다.
로드 스미스

1
보안 부팅에는 암호가 필요하며 비워 둘 수 없으며 일종의 인증이 필요합니다. 암호 없이는 원격으로 로그인 할 수 없기 때문에 네트워크 관리자가 관리자 계정 암호없이 보안 컴퓨터 시스템을 유지하는 이유입니다.
Dorian

답변:


7

UEFI 보안 부팅은 부팅 파일에서 CA 키와 서명의 조합을 사용하여 부팅 로더가 변조되는 것을 방지합니다. 예를 들어 Microsoft는 CA 키가 이미 대부분의 PC의 UEFI 펌웨어에 존재하는 부트 로더에 서명했습니다.

이것은 로더의 초기 코어만을 보호하며 이후에는 아무것도 보호하지 않습니다. 예를 들어 initrd (initramfs)는 보호되지 않거나 그 이후의 모든 것 (GRUB, 커널, 모듈, 드라이버, 사용자 공간 등)입니다.

설치 한 타사 소프트웨어에는 부트 로더에 필요한 특정 저수준 PCI 또는 RAID 코드가 포함되어 있으므로 UEFI 펌웨어 공간에 키를 생성하는 암호를 만들어야합니다. 수정 후 시스템이 부팅시 다른 점을 발견하면 BIOS가 POST에서 중지하고 소프트웨어를 설치 한 사람임을 증명하기 위해 설치 중에 입력 한 것과 동일한 암호를 묻습니다. 이 방법을 사용하면 컴퓨터에 실제로 앉아있는 사용자가 확인을 위해이 암호를 입력하여 BIOS POST 시간에 소프트웨어를로드하여 가짜로 만들 수 없도록합니다.

대부분의 사용자 시스템에서 보안 부팅은 사용자를 보호하는 데 거의 도움이되지 않습니다. 바이러스 나 맬웨어 또는 설치를 방지하지는 않습니다. 모든 것이 기본 수준의 바이러스 백신 또는 OS 보안으로 방지되는 하위 수준 부트 로더 변조를 방지합니다. 내 의견으로는, 대부분의 문서에 따르면 안전하게 비활성화 할 수 있습니다.


이것은 내가 찾고있는 대답 일 것 같습니다! 암호를 생성했지만 BIOS를 수정하지 않으면 암호를 묻지 않아도됩니다.
코스모

1
좀 빠지는. 부트 로더를 수정하는 무언가를 설치하면 UEFI 펌웨어가 모든 부팅시 확인하고 해당 파일의 서명을 데이터베이스의 저장된 키와 비교하는 것을 설치해야 할 수도 있습니다.
도리안

1
"대부분의 공격 에 대해 보안 부팅이 사용자를 보호하는 데 거의 도움이되지 않습니까?"
jpaugh

1
@jpaugh 당신은 내가 추측하는 단어 공격을 사용할 수 있습니다. 그러나 대부분의 감염 / 바이러스 / 악성 프로그램은 대개 직접적인 공격으로 간주되지 않습니다. 일반적으로 이러한 것들은 모든 사람에게 감염되고 확산되기 위해 야생에 설정되어 있기 때문에 특히 아무도 없습니다. 그러나 그렇습니다. 원격으로 시스템에 액세스하여 부팅을 망가 뜨리려는 사람은 공격으로 간주됩니다.
Dorian

1
@Cosmo grub 명령은 grub이 이미로드 된 후에 메모리에서 실행되므로 설정하지 않아야합니다. 그러나 아마도 실행중인 명령이 이전에 실행되지 않은 모듈을 실행하려고하는데 UEFI 알람을 설정합니다 ... BIOS에서 암호를 묻는 메시지가 나타 납니까? BIOS에서 보안 부팅을 비활성화하면 프롬프트없이 실행됩니까?
Dorian
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.