Ako zaviesť a nainštalovať Linux na UEFI PC s bezpečným zavádzaním
Nové počítače s operačným systémom Windows sú vybavené firmvérom UEFI a funkciou Secure Boot. Funkcia Secure Boot zabraňuje spusteniu operačných systémov, pokiaľ nie sú podpísané kľúčom nainštalovaným do UEFI - z krabice, môže sa zaviesť iba softvér podpísaný spoločnosťou Microsoft.
Spoločnosť Microsoft poveruje, aby predajcovia počítačov umožňovali používateľom zakázať funkciu Secure Boot, aby ste mohli zakázať funkciu Secure Boot alebo pridať vlastný vlastný kľúč na vyriešenie tohto obmedzenia. Funkcia Secure Boot nemožno vypnúť na zariadeniach ARM so systémom Windows RT.
Ako funguje zabezpečené spustenie
Počítače, ktoré prichádzajú so systémom Windows 8 a Windows 8.1, obsahujú firmvér UEFI namiesto tradičného systému BIOS. Štandardne firmvér UEFI zariadenia nainštaluje iba zavádzacie zavádzače, ktoré sú podpísané kľúčom vloženým do firmvéru UEFI. Táto funkcia je známa ako "Secure Boot" alebo "Trusted Boot". Na tradičných počítačoch bez tejto bezpečnostnej funkcie by sa mohol rootkit sám nainštalovať a stať sa zavádzacím zariadením. BIOS počítača potom načíta systém rootkit pri zavádzacom čase, čo by spustilo a načítavalo Windows, skrylo sa z operačného systému a začalo sa vkladať do hlbokej úrovne.
Funkcia Secure Boot to zablokuje - počítač spustí iba dôveryhodný softvér, takže škodlivé zavádzacie systémy nebudú schopné infikovať systém.
Na počítačoch Intel x86 (nie počítačoch ARM) máte kontrolu nad Secure Boot. Môžete si ho zakázať alebo dokonca pridať vlastný podpisový kľúč. Organizácie by mohli používať svoje vlastné kľúče na to, aby mohli napríklad spustiť iba schválené operačné systémy Linux.
Možnosti pre inštaláciu systému Linux
Máte niekoľko možností na inštaláciu systému Linux na počítač so Secure Boot:
- Vyberte linuxovú distribúciu, ktorá podporuje bezpečné spustenie: Moderné verzie Ubuntu - od Ubuntu 12.04.2 LTS a 12.10 - sa na väčšine počítačov so zapnutou funkciou Secure Boot spustia a inštalujú normálne. Je to preto, lebo prvý štartovací zavádzač systému Ubuntu EFI je podpísaný spoločnosťou Microsoft. Avšak vývojár Ubuntu si všimol, že zavádzací systém Ubuntu nie je podpísaný s kľúčom, ktorý vyžaduje certifikačný proces spoločnosti Microsoft, ale jednoducho kľúč Microsoft hovorí, že je "odporúčaný". To znamená, že Ubuntu sa nemusí na všetkých UEFI počítačoch spustiť. Používatelia budú musieť zakázať funkciu Secure Boot na používanie Ubuntu na niektorých počítačoch.
- Zakázať zabezpečené spustenie: Zabezpečené zavedenie môže byť deaktivované, čo si vymenia výhody, ktoré prináša bezpečnosť, pokiaľ ide o možnosť spustenia počítača, rovnako ako staršie počítače s tradičným systémom BIOS. Toto je tiež potrebné, ak chcete nainštalovať staršiu verziu systému Windows, ktorá nebola vyvinutá so zabezpečeným zavádzaním, ako napríklad Windows 7.
- Pridajte podpisový kľúč do UEFI Firmware: Niektoré distribúcie Linuxu môžu podpisovať svoje zavádzače pomocou vlastného kľúča, ktorý môžete pridať do vášho firmvéru UEFI. Zdá sa, že to v súčasnosti nie je bežné.
Mali by ste skontrolovať, aký proces odporúča vaša distribúcia Linuxu. Ak potrebujete zaviesť staršiu linuxovú distribúciu, ktorá o nej neposkytuje žiadne informácie, stačí zakázať funkciu Secure Boot.
Mali by ste byť schopní nainštalovať aktuálne verzie Ubuntu - buď verziu LTS, alebo najnovšiu verziu - bez problémov na väčšine nových počítačov. Pozrite si poslednú časť, kde nájdete pokyny na zavedenie z vymeniteľného zariadenia.
Ako zakázať bezpečnú bootovanie
Secure Boot môžete ovládať z obrazovky nastavení UEFI Firmware Settings. Na prístup k tejto obrazovke budete musieť vstúpiť do ponuky možností zavádzania v systéme Windows 8. Ak chcete to urobiť, otvorte okno Nastavenia - stlačte tlačidlo Windows Key + I na jej otvorenie - kliknite na tlačidlo Napájanie a potom stlačte a podržte kláves Shift Kliknete na tlačidlo Reštartovať.
Počítač sa reštartuje na obrazovku rozšírených možností na zavedenie. Vyberte možnosť Riešenie problémov, vyberte možnosť Rozšírené možnosti a potom vyberte položku Nastavenia UEFI. (Niektoré nastavenia UEFI sa nemusia zobraziť na niekoľkých počítačoch so systémom Windows 8, a to aj v prípade, že prichádzajú s UEFI - v tomto prípade sa obráťte na dokumentáciu výrobcu, kde nájdete informácie o tom, ako sa dostanete na obrazovku nastavení UEFI.)
Budete presmerovaní na obrazovku nastavení UEFI, kde si môžete zvoliť vypnutie Secure Boot alebo pridať vlastný kľúč.
Zavádzanie z vymeniteľných médií
Môžete zavádzať z vymeniteľných médií prístupom do ponuky možností zavádzania rovnakým spôsobom - podržte kláves Shift po kliknutí na možnosť Reštartovať. Vložte svoje zavádzacie zariadenie, vyberte možnosť Použiť zariadenie a vyberte zariadenie, z ktorého chcete zaviesť systém.
Po zavedení z vymeniteľného zariadenia môžete nainštalovať Linux tak, ako by ste to normálne používali, alebo jednoducho používať živé prostredie z vymeniteľného zariadenia bez jeho inštalácie.
Majte na pamäti, že Secure Boot je užitočná bezpečnostná funkcia. Mali by ste ju ponechať povolené, ak nebudete musieť spustiť operačné systémy, ktoré nebudú spustené so zapnutým zabezpečeným spustením.