Nvidiaドライバをインストールした後、MOKパスワードを設定するように求められます。そうしないと、サードパーティのドライバが正しく動作しない可能性があるため、パスワードを作成しました。再起動後、いくつかのオプションを含む青いMOK管理画面が表示され、そのうちの最初のオプションは起動を続行することでした。だからこれを選択しましたが、起動が完了したときに2番目のモニタが認識されませんでした。最初にMOKに関するメッセージが表示されたときに、セキュアブートについて読んだことを覚えていて、BIOSでブートしてセキュアブートをオフにしました。これで2番目の画面が戻ってきました。いくつかの質問が浮かんでいます。
- まず、MOKとは何ですか?
- 私にそれが必要ですか?必要でない場合はどうすれば削除できますか?
- NvidiaドライバのインストールまたはMOK設定のために2番目の画面が認識されませんか?
- セーフブートをオフにすることはできますか?
助けてくれてありがとう!
ベストアンサー1
広告1)
マシン所有者キー(MOK)は、承認されたオペレーティングシステムコンポーネントとドライバのみを実行できるようにすることでブートプロセスを保護するように設計されています。それにもかかわらず、MOKは「BIOS」またはコンピュータ内部のいくつかの起動コードとして実装する必要があります。
主なアイデアは、オペレーティングシステム(OS)がロードされたときに署名されたコードのみを実行できることです。一度起動すると、オペレーティングシステムはBIOSからシステムを保護する責任を負うことができます。
MOK システムは公開鍵暗号化を使用します。つまり、鍵ペアを作成し、秘密鍵と秘密鍵ペアを使用して実行できるすべてのコンポーネントに署名します。これには、GRUB ブートローダ自体が含まれます。その後、BIOSは公開キー(インストールする必要があります)を使用してコードを実行する前に署名を確認します。
以下は、セキュアブートとMOKに関するいくつかのドキュメントです。
私の個人的な意見では、MOKの利点は、キーを直接生成して信頼できるコンポーネントに署名できることです。以前はEFI BIOSがMicrosoftの公開鍵のみをインストールし、Linuxブートローダの署名を消極的にしました:-) 過去にSHIM(EFI BIOSとGRUBの間の仲介者)が必要だった理由です。
すべてのセキュアブート方法は、システムが正常に起動し、マルウェアによって改ざんされないようにして、ハッカーやウイルスからシステムを保護することを願っています。スタートアップコードまたはドライバーが改ざんされている場合は、システムがそれを検出して適切な処置を取ることができます。攻撃者がコンピュータに物理的にアクセスできる場合(「邪悪なメイド攻撃」)、コンピュータを保護するオプションはあまりありません。すべての機密データを含むディスクが暗号化されていても、攻撃者は起動コードを修正して読み取ることができます。パスワードを入力するときにパスワードをインポートしてから、後で読むために送信または保存してください。セキュアブートはこれらの変更を防ぎます。
Kyle Rankinは、Libremノートブックファミリのブートプロセスセキュリティのために多くの作業を行いました。彼の作品に関する素晴らしい記事は次のとおりです。。私はそれがあなたのシステムに直接適用されていなくても読む価値があると思います。アイデアは同じです。
広告2)と4)
MOKとセキュアブートが必要ですか?ハッカー、特にラップトップに物理的にアクセスできる場合、またはブラウザ/オフィス/Linuxのバグを介してインターネットからrootアクセス権を取得できるハッカーによって正常に破損した場合は、そうではありません。無効化については正しいことを行いました。 BIOSでセキュアブートを無効にします。