Bonjour,

je ne trouve aucune documentation "user-friendly" sur le secure boot et comment le gérer. Notamment, il manque une doc pour les utilsateurs Ubuntu moyens.
J'avais désactivé le secure boot pour installer Ubuntu sur un PC avec Windows. Maintenant que je l'ai réactivé, chaque mise à jour du noyau me demande de définir un mot de passe, et et au reboot j'ai un menu spécifique.

Voici les questions simples auxquelles je ne trouve pas de réponses simples :
  • Continue boot: ça marche toujours, donc est-ce que mon boot est vraiment secure ?
  • Enroll MOK: ça semble demander (logiquement) le mot de passe défini lors de la mise à jour du noyau, mais qu'est-ce que ça fait et quand a-t-on besoin de le faire ?
  • Enroll key from disk : qu'est-ce que ça fait et quand doit-on l'utiliser ?
  • Enroll key from hash: (ou un truc du genre, je l'ai plus sous les yeux 😉 ) qu'est-ce que ça fait et quand doit-on l'utiliser ?
Je ne souhaite pas désactiver le secure boot. Je pense faire une doc avec vos réponses car elle manque cruellement...
Si vous êtes meilleurs que moi en déterrage de doc (user-friendly) perdue et que vous avez un lien, je prends aussi !
Salut;
xubu1957, ne te serais-tu pas trompé de lien ? Le tien, à mon avis, ne répond guère aux interrogations de Syrion.
xubu1957 a écritJe mets cette Doc > wiki.ubuntu.com/UEFI/SecureBoot
_ _ _

@moko138
Malheureusement, ça ne répond que partiellement à la question 1 et ce n'est pas "user firendly".

Donc si vous-même connaissez les réponses ... 😉
J'ai trouvé cette doc qui répond au point "enroll MOK" : secure boot n'est pas simple
Avec cette doc (pas du tout user friendly mais je vais m'en contenter car je la comprend), on comprend à quoi sert le "enroll MOK" --> je vais tenter de le résumer dans le wiki

La doc efi pointée par bruno n'a rien à voir avec la choucroute et n'explique pas à quoi servent les autres menus. La page WIkipedia est également hors-sujet, et le paragraphe pointé ne parle pas non plus de la manière dont un utilise le MokManager ni ce que font les différents items.
Je ne vois pas en quoi le lien en #2 est pertinent. Il détailel un processus technique sans expliquer le lien avec ce que voit l'utilisateur.

La question reste ouverte : que font les deux autres "enroll", quand sont-ils utiles ?
Le titre du sujet est « Comprendre le secure boot ». Les différents liens donnés permettent cela. Y compris de comprendre en quoi c'est un système peu utile, si ce n'est pour permettre à certains fabricants de verrouiller le couple matériel/système d’exploitation…, voire complètement inutile pour les machines n'utilisant pas WIndows.


Maintenant tu n'auras pas de réponses simples à des problèmes complexes.
Les points que tu évoques concernent la signature des chargeurs d'amorçage, du noyau et des pilotes.
La grande majorité des utilisateurs n'a pas à s'embêter avec cela. La solution la plus simple est de désactiver ce machin.


http://www.rodsbooks.com/efi-bootloaders/secureboot.html
https://ubuntu.com/blog/how-to-sign-things-for-secure-boot
Merci d'avoir lu au moins le titre donc...

je pense qu'il existe des réponses pas trop compliquées sur ce que font les menus. Et non, ce n'est pas plus simple de déactiver le machin quand on a un PC pro à sécuriser.

Par contre si la vulgarisation n'est pas possible, est-ce que je peux trouver une réponse (même compliquée) à mes questions très précises ?
Je donne l'exemple pour le menu "enroll MOK" :
- enroll MOK : après activation du secure boot, la première mise à jour du noyau et de ses drivers va vous demander un mot de passe. à ce moment, le système demande à l'EFI d'inscrire les nouveaux drivers comme "secure", et ce n'est qu'au reboot en choisissant "enroll MOK" que vous allez pourvoir, en re-saisissant le mot de passe précédent, confirmer à l'EFI que c'est bien vous qui avez demandé l'enregistrement de vos nouveaux drivers comme "secure".

Est-ce que ce niveau de vulgarisation peut être au moins approché pour les autres items ?