Các cuộc thảo luận và báo cáo về UEFI và Secure Boot đã xuất hiện trong nhiều vòng tròn Linux, nhưng ai cũng có thể tóm tắt tác động của nó đối với Ubuntu và nó ảnh hưởng đến người dùng nói chung như thế nào?
Tôi biết rằng UEFI và Secure Boot là riêng biệt (không thể thay thế cho nhau), với Secure Boot là một phần của đặc tả BIOS Giao diện phần mềm mở rộng hợp nhất .
PS Tôi biết nó ảnh hưởng đến Ubuntu như thế nào, câu hỏi này là vì lợi ích của kiến thức công cộng.
Câu trả lời:
Để thực sự hiểu nó ảnh hưởng đến người dùng và Ubuntu như thế nào, tôi nghĩ thật hữu ích khi hiểu UEFI là gì và những gì nó thay đổi. Sau đó thảo luận về các tính năng của khởi động an toàn và cách nó có thể ảnh hưởng đến cài đặt:
UEFI là một đặc tả xác định giao diện phần mềm giữa hệ điều hành và phần sụn
Nó được thiết kế để thay thế BIOS. BIOS đã cũ và được thiết kế cho phần cứng cũ. Nó chỉ có thể hỗ trợ chế độ bộ xử lý 16 bit, chỉ có 1 MB Không gian địa chỉ, chỉ khởi động tối đa ổ đĩa 2TiB, 4 phân vùng, v.v. DOS và các hệ điều hành cũ hơn được sử dụng để dựa vào BIOS cho I / O cơ bản ... nhưng tầm quan trọng của bộ tải khởi động một khi một hệ điều hành đang chạy được giảm đáng kể ngày hôm nay. Nhận ra nhiều người vẫn sẽ gọi UEFI là BIOS.
Một số thay đổi lớn với UEFI là:
Trình điều khiển và kiến trúc độc lập
Khả năng mạng trước khi hệ điều hành tải.
Vì UEFI có thể là 64 bit, nó cho phép nó đọc tất cả bộ nhớ có thể được xử lý bởi máy tính 64 bit
Bảng phân vùng GUID thay vì MBR cho phép nhiều hơn 4 phân vùng và hơn 2TiB từ ổ đĩa khởi động (8ZiB)
cung cấp các tùy chọn thời gian chạy cho HĐH, chẳng hạn như truy cập ngày / giờ / NVRAM
UEFI cho phép SECUREBOOT:
Secure Boot ngăn trình điều khiển và trình tải hệ điều hành không được tải bởi chương trình cơ sở trừ khi chúng được ký bằng chữ ký số được ghi vào chương trình cơ sở. Điều này có thể rất hữu ích để ngăn chặn rootkit. Bạn có thể thêm nhiều phím để cho phép phần mềm khác chạy ở chế độ "Tùy chỉnh".
Điều đó đang được nói, bạn có thể đọc rất nhiều hạn chế về Secure Boot, cách sử dụng nó để cho phép một hệ điều hành thống trị một hệ thống, v.v. Do Windows 8 này yêu cầu SecureBoot có thể vào chế độ tùy chỉnh hoặc bị vô hiệu hóa thành Windows 8 chứng nhận. Khi bị vô hiệu hóa, bạn mất tất cả các lợi ích của khởi động an toàn nhưng bạn vẫn có thể sử dụng UEFI. Với nó trong Chế độ tùy chỉnh, bạn có thể thêm các khóa chung không khớp với khóa riêng trong hệ thống để các phần mềm khác có thể chạy bên cạnh các khóa có khóa riêng
Dành cho Ubuntu
Khi bạn cài đặt Ubuntu, nếu hệ thống của bạn được thiết lập để khởi động trong UEFI, nó sẽ cài đặt dưới dạng EFI.
Kể từ Ubuntu 12.10, nó đã hỗ trợ Khởi động an toàn
Nếu bạn thêm Ubuntu làm HĐH thứ 2, điều quan trọng là phải có cùng loại HĐH với trình tải khởi động của bạn (ví dụ: 64 bit hoặc 32 bit). Vì vậy, nếu bạn có Windows 64 bit và bạn khởi động UEFI, bạn nên chọn Ubuntu 64 bit. Nếu bạn không, nó sẽ không tải. Tôi đã cố gắng khởi động UEFI với Ubuntu 32 bit (13.10) và thậm chí không thể lấy nó để đọc USB cho đến khi tôi tắt UEFI. Tôi đã cài đặt phiên bản 32 bit với nó bị vô hiệu hóa. Khi tôi nhận ra lỗi của mình, tôi đã tải lại Ubuntu 64 bit vào khóa, bật UEFI và nó phát hiện ra nó rất tuyệt. Sau đó tôi cài đặt lại.
Sử dụng UEFI cho phép bạn có nhiều phân vùng chính khi cài đặt, vì vậy đừng lo lắng về các hướng dẫn khiến bạn bắt đầu sử dụng logic sau khi bạn có 4 phân vùng.
Mọi thứ vẫn chưa hoàn hảo. Ví dụ: GRUB có vấn đề khi khởi động Windows 8 với khởi động an toàn. Tôi có thể chọn khởi động từ ổ đĩa Windows trước, nó hoạt động tốt. Tôi có thể tải GRUB trước và khởi động Ubuntu dưới khởi động an toàn. Nhưng khi GRUB tải, nó sẽ không tải Windows 8 bằng khởi động an toàn. Đây là một trang web tốt về vấn đề này, và ở phía dưới là báo cáo lỗi được xác nhận: http://falstaff.agner.ch/2012/12/18/ubfox-12-10-and-windows-8-with -chê độ khởi động an toan/
Có một cuộc nói chuyện toàn thể về điều đó trong UDS của Jeremy Kerr. Bài thuyết trình dựa trên một tài liệu mà ông đã được đồng tác giả với Matthew Garrett và James bottomley. Bạn có thể tìm thấy tài liệu đó ở đây .
Hai xu của tôi là đó là một hệ thống để xác minh rằng phần mềm bạn đang sử dụng để khởi động máy của bạn đã được ký bằng cách sử dụng chữ ký được ủy quyền có sẵn trong cơ sở dữ liệu nội bộ. Điều này không nguy hiểm miễn là có cách để bạn chỉnh sửa cơ sở dữ liệu chữ ký hợp lệ. Tuy nhiên, một người chơi trong ngành công nghiệp lớn dường như muốn các OEM chỉ bao gồm một chữ ký trong cơ sở dữ liệu và không có cách nào để cập nhật và đó là vấn đề lớn vì không có hệ điều hành nào khác có thể khởi động trong phần cứng áp dụng các hạn chế đó.