Làm cách nào để xóa "Bộ tải khởi động tải chuỗi khởi động an toàn (nhị phân có chữ ký của Microsoft)"?

Trong quá trình cập nhật phần mềm Ubuntu 20.04, tôi được thông báo rằng "Bộ tải khởi động tải chuỗi khởi động an toàn (nhị phân có chữ ký của Microsoft)" sắp được cài đặt/cập nhật. Tôi không muốn cho phép bất kỳ tệp nhị phân có chữ ký nào của Microsoft được thực thi trong khi khởi động, có cách nào để loại bỏ nó không? Để không nhận được loại đề xuất cập nhật này trong tương lai.

Sản phẩm duy nhất của Microsoft mà tôi có là Teams và tôi muốn sản phẩm này được đóng hộp cát nhiều nhất có thể.

Bạn có thể sử dụng "Phương pháp 2 - Vô hiệu hóa Khởi động an toàn trong shim-signed" của https://wiki.ubuntu.com/UEFI/SecureBoot/DKMS Bạn sẽ cần phải cài đặt mokutil. Vui lòng gửi phản hồi nếu bạn thử điều này.

Hoặc "Phương pháp 3 - Vô hiệu hóa Khởi động an toàn từ BIOS".

Lưu ý rằng ký shim không phải là "không mong muốn", xem cái này để giải thích về nguồn gốc của nó. Và nếu bạn sử dụng Khởi động an toàn, bạn muốn có ký shim cập nhật.

~tl;dr:~

Mặc dù tôi thường thông cảm với tình cảm này, nhưng tôi khẳng định rằng bạn đang thực hiện sai cách tiếp cận ở đây. Trên thực tế, nó sẽ đưa bạn đi xa hơn nhiều so với mục tiêu cuối cùng của bạn.

Nếu bạn đang sử dụng trình tải chuỗi đó một cách an toàn, thì môi trường của bạn đã ở trạng thái "không có chữ ký MS" như nó có thể nhận được. Bạn có một chữ ký MS giả mạo, chữ ký này phù hợp với mọi thứ mà nó tải trong khi khởi động, theo cách đệ quy. Nói cách khác, tất cả mọi thứ.

Một giải pháp (tạm thời) khác: tắt SecureBoot. Bằng cách này, cả bộ tải khởi động này cũng như bất kỳ tệp nhị phân có chữ ký MS nào khác. Chỉ hoạt động nếu nó vẫn là cài đặt BIOS trên máy của bạn. Nhiều PC và máy tính xách tay mới hơn đang được trang bị hệ thống BIOS "SecureBoot Only" mà không có tùy chọn kế thừa.

~ Giải thích: 2 điều.. ~

Điều 1:

Trước hết, trong môi trường Linux, "Microsoft đã ký" không nhất thiết có nghĩa là nó thực sự được ký bởi Microsoft. Nó chỉ có nghĩa là ai đó đã làm cho nó giống như vậy.Chúng tôi làm điều này Đối với phần mềm sẽ chạy trong quá trình khởi động để phần mềm này sẽ chạy mà không bị hạn chế trong môi trường bật SecureBoot (SB).

Đó là tất cả những gì SecureBoot thực sự là. Nó không bảo mật bất cứ điều gì. Nó chỉ cắt bỏ các đặc quyền, chẳng hạn như truy cập internet, để xử lý mã đang chạy trong khi khởi động mà không bị ràng buộc với chữ ký số MS.

Thật không may, phần mềm chạy khi khởi động lại là một số phần mềm hệ thống quan trọng nhất trên máy tính của bạn. Đối với một điều, hầu hết phần sụn được tải vào thời điểm đó. Điều này cung cấp quyền truy cập vào tài nguyên vật lý, trong số những thứ khác.

Vì vậy, nếu bạn đã bật SecureBoot và có internet, rất có thể bạn đang chạy phần mềm đã ký. Theo những gì tôi biết, Ubuntu vẫn chưa có bước nhảy vọt và bắt đầu giả mạo các mô-đun hạt nhân. Hay có họ?

Điều 2:

Một cách để khắc phục quy tắc "Chỉ mã được ký trong khi khởi động" của SB là tải phần mềm của bạn theo chuỗi. Với bộ tải xích, niềm tin sẽ quay trở lại liên kết đầu tiên trong chuỗi. Đối với bạn, đây là bộ tải khởi động.

Đối với một (thêm) điều này, điều này có nghĩa là nếu bạn xóa nó, SecureBoot sẽ không hoạt động.

Trên thực tế, điều đó là sai. Nếu bạn xóa nó, Khởi động an toàn sẽ làm việc, và điều đó còn tệ hơn nhiều, imo. Điểm này rất quan trọng, vì nó nằm ở trung tâm của câu trả lời này.

Người ta không thể không nhận thấy sự trớ trêu ở đây. Câu trả lời này tốt nhất có thể được mùa hè hóa với tuyên bố sau:

~ MANG LẠI ~

Trong câu hỏi của bạn, bạn đưa ra quan điểm rõ ràng

Tôi không muốn cho phép bất kỳ tệp nhị phân có chữ ký nào của Microsoft được thực thi trong khi khởi động...

Nếu đây là mục tiêu cuối cùng của bạn và bạn đang chạy một môi trường hỗ trợ SecureBoot, thì bộ tải khởi động tải chuỗi SecureBoot (Ký Canonical??) là điều duy nhất giúp bạn không cần phải trao đổi mọi chương trình thời gian khởi động trên hệ thống của mình để thay thế Microsoft.