Secure Boot/ru: Difference between revisions
Updating to match new version of source page Tags: Mobile edit Mobile web edit |
Updating to match new version of source page Tags: Mobile edit Mobile web edit |
||
| Line 9: | Line 9: | ||
Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot. | Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot. | ||
<div lang="en" dir="ltr" class="mw-content-ltr"> | |||
[[Category:Security]] | |||
[[Category:Booting]] | |||
</div> | |||
<div lang="en" dir="ltr" class="mw-content-ltr"> | |||
== Checking Secure Boot status == | |||
The easiest way to check if your machine has Secure Boot enabled is through the use of [[Systemd]]'s <code>bootctl</code>. There is no need to be using [[Systemd/boot|systemd-boot]] as your bootloader for this command to work. <syntaxhighlight lang="console"> | |||
$ bootctl status | |||
System: | |||
Firmware: UEFI 2.80 (American Megatrends 5.25) | |||
Firmware Arch: x64 | |||
Secure Boot: enabled (user) | |||
TPM2 Support: yes | |||
Measured UKI: yes | |||
Boot into FW: supported | |||
... | |||
</syntaxhighlight>The system above has secure boot enabled and enforced. Other values include <code>disabled (setup)</code> for Setup Mode, <code>disabled (disabled)</code> or <code>disabled (unsupported)</code>. The unsupported tag only appears if your device firmware does not support Secure Boot at all. | |||
If you see <code>disabled (disabled)</code>, this means you will need to enable Secure Boot in your UEFI firmware settings before proceeding to use one of the projects outlined here. | |||
</div> | |||
Revision as of 22:22, 9 December 2025
Под безопасной загрузкой обычно подразумевается возможность встроенного программного обеспечения платформы проверять компоненты загрузки и гарантировать, что загрузится только ваша собственная операционная система.
Secure Boot имеет несколько реализаций, наиболее известная - UEFI Secure Boot, которая опирается на прошивку платформы UEFI, но во встраиваемых системах могут существовать и другие реализации.
На NixOS, Secure Boot может быть включён с помощью проекта [Lanzaboote].
Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot.
Checking Secure Boot status
bootctl. There is no need to be using systemd-boot as your bootloader for this command to work. $ bootctl status
System:
Firmware: UEFI 2.80 (American Megatrends 5.25)
Firmware Arch: x64
Secure Boot: enabled (user)
TPM2 Support: yes
Measured UKI: yes
Boot into FW: supported
...
disabled (setup) for Setup Mode, disabled (disabled) or disabled (unsupported). The unsupported tag only appears if your device firmware does not support Secure Boot at all.
If you see disabled (disabled), this means you will need to enable Secure Boot in your UEFI firmware settings before proceeding to use one of the projects outlined here.