Tại sao tôi được yêu cầu tạo mật khẩu để tắt khởi động an toàn khi cài đặt ban đầu Ubuntu 16.04?

Khi cài đặt Ubuntu 16.04 ban đầu, tôi đã kiểm tra "Cài đặt phần mềm của bên thứ ba" và, bên dưới nó, tôi được nhắc kiểm tra một tùy chọn khác cho phép gói HĐH tự động vô hiệu hóa khởi động an toàn, điều kiện tiên quyết là tạo một mật khẩu bằng cách nào đó sẽ cho phép toàn bộ quá trình này xảy ra.

Sau khi tiếp tục cài đặt, tôi không bao giờ được đưa ra bất kỳ dấu hiệu nào cho thấy việc vô hiệu hóa khởi động an toàn này đã xảy ra, tôi cũng không bao giờ được nhắc nhập mật khẩu mà tôi đã tạo.

Sau khi cài đặt thành công HĐH, tôi khởi động lại máy tính và kiểm tra BIOS. Trong BIOS, khởi động an toàn vẫn được bật. Tuy nhiên, trở lại với Ubuntu, tôi có thể phát liền mạch các tệp MP3 và Flash, điều mà tôi cho rằng việc cài đặt phần mềm của bên thứ ba đã thành công.

Tôi chưa gặp phải bất kỳ vấn đề nào (ngoài thực tế là giao diện người dùng đôi khi hơi khó tính và có lỗi), nhưng tôi muốn biết những gì trên Trái đất tôi thực sự đạt được bằng cách tạo mật khẩu đó.

Điều gì đã xảy ra với mật khẩu tôi đã tạo? Tôi sẽ cần phải nhớ nó cho bất kỳ lý do? Nó không giống với mật khẩu đăng nhập / sudo của tôi.

Ubuntu đã chỉnh sửa vĩnh viễn BIOS của tôi để tạo ngoại lệ cho chính nó chưa? Nếu vậy, làm thế nào tôi có thể xem những thay đổi này và có khả năng hoàn tác chúng? Đó có phải là nơi mật khẩu sẽ đến?

Tại sao Ubuntu cần phải vô hiệu hóa / bỏ qua khởi động an toàn để cài đặt gói bổ sung bị hạn chế Ubuntu? Cài đặt của tôi có ổn không? Tôi đã đặt ra cho mình những vấn đề trong tương lai? Tôi có nên thử cài đặt lại với khởi động an toàn bị vô hiệu hóa theo cách thủ công vì không nhận được lời nhắc đó ngay từ đầu không?

Thông tin bổ sung: Tôi đang chạy một hệ thống UEFI và tôi đang khởi động kép Ubuntu 16.04 cùng với Windows 10.

Một người dùng khác đã hỏi một câu hỏi về một vấn đề tương tự ở đây. Không giống như người dùng này, tôi không nhận được cảnh báo về "khởi động ở chế độ không an toàn", nhưng tôi cũng muốn biết liệu Ubuntu có tạo ra ngoại lệ cho chính nó hay không và làm cách nào tôi có thể quản lý các ngoại lệ đó. Không giống như tôi, người dùng này đã không đề cập bất cứ điều gì về việc phải tạo mật khẩu.

UEFI Secure Boot bảo vệ bộ tải khởi động của bạn khỏi bị giả mạo bằng cách sử dụng kết hợp các phím CA và chữ ký trong các tệp khởi động. Ví dụ, Microsoft đã ký các bộ tải khởi động đã có khóa CA trong phần sụn UEFI của hầu hết các PC.

Điều này chỉ bảo vệ lõi rất sớm của bộ nạp và không có gì sau đó. Ví dụ: initrd (initramfs) không được bảo vệ hoặc bất cứ thứ gì sau (GRUB, kernel, Modules, Driver, bất cứ thứ gì trong không gian người dùng, v.v.).

Phần mềm bên thứ 3 mà bạn đã cài đặt CÓ THỂ bao gồm một số mã PCI hoặc RAID cấp thấp nhất định cần thiết cho bộ tải khởi động, đó là lý do tại sao bạn cần tạo mật khẩu, sẽ tạo một khóa trong không gian của phần sụn UEFI. Sau khi sửa đổi, nếu hệ thống nhận thấy có gì đó khác biệt khi khởi động, BIOS sẽ dừng lại ở POST và hỏi cùng một mật khẩu bạn đã nhập trong khi cài đặt để chứng minh rằng bạn là người đã cài đặt phần mềm. Phương pháp này đảm bảo rằng người dùng thực tế đang ngồi trước máy tính đang nhập mật khẩu này dưới dạng xác nhận vì không có phần mềm nào có thể được tải tại BIOS POST để giả mạo điều này.

Đối với hầu hết các hệ thống người dùng, khởi động an toàn sẽ không bảo vệ bạn. Nó không ngăn chặn virus hoặc phần mềm độc hại, hoặc cài đặt chúng. Tất cả những gì nó làm đều ngăn chặn việc giả mạo bộ tải khởi động cấp thấp, thường bị ngăn chặn bởi các chương trình chống vi-rút hoặc bảo mật hệ điều hành cơ bản. Theo tôi, và theo hầu hết các tài liệu ngoài kia, nó có thể bị vô hiệu hóa một cách an toàn.