直呼 Linux 太坑,手动安装 Grub2 BootHole 漏洞的缓解 “补丁”

Osk

炸机警告

⚠Bitlocker 用户

  • 操作前进入控制面板暂停 Bitlocker 保护(不是关闭 Bitlocker 哈)
  • 更新前请准备好恢复密码,特别是 PCR7 绑定的,以免触发保护无法启动计算机。虽然更新 dbx 一般没啥问题,就怕万一...

⚠HP 商用机用户

请参考 HP 官网更新 BIOS 或者临时禁用 HP SureStart 保护,以免更新失败。

⚠Linux 用户

安装 dbx 前请更新系统, 特别确认 Grub2 是修复了 BootHole 的重签版本,否则更新后会无法启动 Linux 。

⚠奇葩 UEFI 固件的电脑

可能炸机也不一定。。。

解决方案

土豪用户(比如 Surface Pro 等设备) + 不用 Linux

进入固件设置 > Secure Boot,把 Secure Boot 证书模板中 Microsoft 第三方 CA ( Microsoft Corporation UEFI CA 2011 ) 拉黑。这样就只能启动 Windows 8/10,其它系统不能再启动了。

无法拉黑第三方 CA / 要用 Linux

很不幸我的乞丐版 surface 固件设置中并不能拉黑第三方 CA,又不想自己去测试搞自己的 PK,只能安装 dbx 更新了。

参考 Microsoft guidance for applying Secure Boot DBX update 这篇文章安装 dbx 即可,链接我发不出来,各位自行搜索。

自建 Secure Boot 证书的用户

要么 dbx 里面拉黑或者不签 Microsoft Corporation UEFI CA 2011,不用其它 Linux 系统。

也可以试试用那个 dbx 拉黑有问题的 grub2 ( uefi.org 提供的 dbx 不知道是谁的 KEK 签的, 猜测是 Microsoft Corporation KEK CA 2011 )。

测试

自建 PK 的计算机我没测试,因为我只签了自己的 EFI 文件,所有其它操作系统都无法启动的,也根本不受 Grub2 BootHole 漏洞影响。

在 Surface 上测试一下安装 dbx 是否有效。

先看看原来的 dbx :

Get-SecureBootUEFI -Name dbx -OutputFilePath dbx-oem.var

尝试一下启动 Ubuntu 20.04 LiveCD, 可以启动。

然后安装 dbx 更新重启。看一下 dbx 变大了。回头找工具看看 dbx 里面的 hash 。

再尝试启动 Ubuntu 20.04 LiveCD,挂了。升级 grub2 到最新,重启,可以了。

其它发行版的 ISO 没测试过。

不知道这个 dbx 更新是拉黑 grub2 的 hash 还是 Linux 发行版厂商用来签 Grub2 的证书,反正 shim 没被拉黑。如果是拉黑 grub2 的 hash 就太窒息了,想想 grub 发了这么多个版本...

Linux 自动化大神看过来,求助啊

Number13:expect 使用方式求助 我想要判断执行程序的输出,是否有我指定的字符串怎么搞啊 比如 P1 程序执行后输出有 两种情况 情况 a:回显字符串中包含 aaaaa 情况 b: 回显字符串中包含 bbbbb 现在想判断 P1 程序执行后 如果是情况 a 就 执行 aCommandLine 情况 b 就 执行 bCommandLine 伪代码如…

另辟蹊径在 Linux 下使用微信

ety001:前置条件 开启 ADB 的 Android 手机 说明 在 Linux 下使用腾讯的产品就是各种痛苦。大家比较普遍的方法是 wine,还有些是靠虚拟机。 我个人是两种都有使用。 最近我的 Archlinux 滚动升级了搜狗拼音输入法后,wine 的微信会被搜狗搞崩溃。 于是我在考虑有没有其他方案。 灵光一现,想到了我经常录屏用的软件 scrcp…

Linux 中怎么找到 alias 命令在哪定义的

azev:看 home 目录下的.bashrc .bash_profile /etc/bashrc 里都没有定义 但 which 看确实是个 alias 那会在哪里呢?

Win+ Linux 双系统到底有什么弊端和优点?

RiceMarch:最近对折腾 Linux 有点小兴趣,想要了解下 Linux 下的开发,跑虚拟机感觉有点变扭。 准备装个双系统,开始一腔热血,思考半天准备 win10+manjaro 双系统。 但身边的朋友却说双系统有很多的问题,确实不太懂这方面的知识。 想请教下各位。 双系统有什么弊端? 又有什么优点? 目前渣配: 256 固态 1T 机械 UEFI+G…

Linux 超能力 BPF 技术介绍及学习分享

robolwq:最近在技术社区做了一次关于 BPF 技术的学习分享,介绍了 BPF 技术发展和应用( cilium 、falco 和 kubectl-trace ),以及本人是如何学习 BPF 技术,全文分享给大家:https://davidlovezoe.club/bpf