Kako zagnati in namestiti Linux na računalnik UEFI z zaščitenim zagonom
Novi računalniki z operacijskim sistemom Windows imajo vdelano programsko opremo UEFI in omogočeno funkcijo Secure Boot. Secure Boot operacijskim sistemom preprečuje zagon, razen če jih podpiše ključ, naložen v UEFI - iz škatle, se lahko zažene samo programska oprema, ki jo podpira Microsoft.
Microsoft pooblašča, da proizvajalci osebnih računalnikov uporabnikom omogočajo, da onemogočijo varni zagon, tako da lahko onemogočite varni zagon ali dodate lastni ključ, da se izognete tej omejitvi. Secure Boot ni mogoče onemogočiti na napravah ARM, v katerih se izvaja Windows RT.
Kako varna zagonska dela
Računalniki, ki so priloženi operacijskim sistemom Windows 8 in Windows 8.1, vsebujejo firmware UEFI namesto tradicionalnega BIOS-a. Privzeto bo strojna programska oprema UEFI strojne opreme zagnala samo zagonske naprave, ki so jih podpisali ključi, vdelani v firmware UEFI. Ta funkcija je znana kot »Secure Boot« ali »Trusted Boot«. Na tradicionalnih osebnih računalnikih brez te varnostne funkcije se lahko rootkit sam namesti in postane zagonski nalagalnik. BIOS računalnika bi nato ob zagonu naložil korenski komplet, ki bi zagnal in naložil Windows, se skrival pred operacijskim sistemom in se vdelal na globoko raven..
Secure Boot to blokira - računalnik bo zagnal samo zaupanja vredno programsko opremo, tako da zlonamerni zagonski nakladalci ne bodo mogli okužiti sistema.
Na računalniku Intel x86 (ne na računalnikih ARM) imate nadzor nad varnostnim zagonom. Lahko ga onemogočite ali celo dodate svoj ključ za podpisovanje. Organizacije bi lahko uporabile lastne ključe, da bi na primer zagotovile zagon samo odobrenih operacijskih sistemov Linux.
Možnosti za namestitev Linuxa
Za namestitev Linuxa na osebni računalnik z varnim zagonom imate več možnosti:
- Izberite distribucijo Linuxa, ki podpira varen zagon: Sodobne različice Ubuntuja - začenši z Ubuntu 12.04.2 LTS in 12.10 - se bodo zaganjale in običajno namestile na večini osebnih računalnikov s omogočenim Secure Bootom. To je zato, ker Ubuntuov prvi zagonski nalagalnik EFI podpira Microsoft. Vendar pa razvijalec Ubuntuja ugotavlja, da zagonski nalagalnik Ubuntuja ni podpisan s ključem, ki ga zahteva Microsoftov certifikacijski postopek, ampak preprosto ključ, ki ga Microsoft pravi, je »priporočen«. To pomeni, da se Ubuntu morda ne zažene na vseh UEFI računalnikih. Uporabniki bodo morda morali onemogočiti Secure Boot za uporabo Ubuntuja na nekaterih računalnikih.
- Onemogoči varni zagon: Secure Boot je mogoče onemogočiti, kar bo omogočilo zamenjavo varnostnih ugodnosti z možnostjo, da računalnik zažene vse, kar storijo tako kot starejši osebni računalniki s tradicionalnim BIOS-om. To je potrebno tudi, če želite namestiti starejšo različico operacijskega sistema Windows, ki ni bila razvita z mislijo na Secure Boot, kot je na primer Windows 7.
- Dodajte ključ za podpisovanje za UEFI Firmware: Nekatere distribucije Linuxa lahko podpišejo svoj zagonski nalagalnik s svojim lastnim ključem, ki ga lahko dodate na vašo UEFI firmware. To se trenutno ne zdi običajno.
Preverite, kateri postopek vam priporoča vaša distribucija Linuxa. Če morate zagnati starejšo distribucijo Linuxa, ki ne vsebuje nobenih informacij o tem, boste morali onemogočiti varni zagon.
Morali bi imeti možnost namestiti trenutne različice Ubuntuja - izdajo LTS ali zadnjo izdajo - brez težav na večini novih osebnih računalnikov. Navodila za zagon s prenosne naprave najdete v zadnjem razdelku.
Kako onemogočiti varni zagon
Secure Boot lahko upravljate z zaslona UEFI Firmware Settings. Za dostop do tega zaslona boste morali dostopati do menija možnosti zagona v sistemu Windows 8. Če želite to narediti, odprite čar Nastavitve - pritisnite tipko Windows + I, da jo odprete - kliknite gumb Napajanje, nato pritisnite in držite tipko Shift kot kliknite Ponovni zagon.
Računalnik se bo znova zagnal na zaslonu naprednih možnosti zagona. Izberite možnost Odpravljanje težav, izberite Napredne možnosti in izberite Nastavitve UEFI. (Možnosti UEFI Settings na nekaterih računalnikih z operacijskim sistemom Windows 8 morda ne boste videli, tudi če prihajajo z UEFI - preglejte dokumentacijo proizvajalca za informacije o dostopu do zaslona za nastavitve UEFI v tem primeru.)
Odprli se boste na zaslon UEFI Settings, kjer lahko onemogočite Secure Boot ali dodate svoj ključ.
Zagon iz izmenljivega medija
Z izmenljivega medija lahko zaganjate tako, da na enak način dostopate do menija možnosti zagona - držite Shift, medtem ko kliknete možnost Ponovni zagon. Vstavite izbrano zagonsko napravo, izberite Uporabi napravo in izberite napravo, iz katere želite zagnati računalnik.
Po zagonu z izmenljive naprave lahko namestite Linux, kot bi običajno uporabljali, ali pa uporabite neposredno okolje iz izmenljive naprave, ne da bi ga namestili..
Upoštevajte, da je Secure Boot uporabna varnostna funkcija. Pustite ga omogočeno, razen če morate zagnati operacijske sisteme, ki se ne bodo zagnali z omogočenim sistemom Secure Boot.