AFAIK, je n'ai qu'un seul fichier MOK.priv depuis que j'ai commencé à utiliser secureboot sur Bionic.
Une mise à jour du noyau la semaine dernière (comme d'habitude) m'a demandé de créer un mot de passe MOK et de ressaisir ce mot de passe dans l'écran d'inscription MOK au démarrage. Mais j'ai raté l'écran d'inscription (pour la 1ère fois).
Depuis, j'ai pu inscrire la clé MOK et signer les modules de noyau nécessaires, en réactivant le démarrage sécurisé. J'ai alors trouvé une clé MOK "orpheline" sur ma machine. Peut-être que le fait de manquer l'inscription m'a amené à me retrouver avec une clé MOK de plus ? Ou peut-être pas, puisqu'il date d'août de l'année dernière.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
Les fichiers MOK que je connais sont la première paire. La 2ème paire était nouvelle pour moi.
Les fichiers MOK ne doivent pas rester disponibles sur la machine. Je pourrais peut-être juste chiffrer la 2ème clé, mais
a) Je ne suis pas à l'aise de toucher un fichier dans /var/lib/shim-signed/ et
b) Je souhaite conserver un seul fichier MOK sur la machine (et inscrit dans le BIOS)
Pour aggraver les choses, aujourd'hui, j'ai dû installer une mise à niveau de l'agent de sauvegarde Acronis (qui dépend de snapapi26, un module du noyau) et j'ai maintenant plus de fichiers MOK (bien que l'extension soit différente, il me semble que MOK.secdata est un clé)
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
J'aimerais avoir un seul (crypté) MOK.priv et MOK.der sur ma machine. Comment puis-je "consolider" ces clés MOK en une seule (par la taille seule, vous pouvez voir qu'elles ne sont pas identiques) ? Si ce n'est pas possible, ai-je besoin de plus d'une clé MOK ? Si non, lequel dois-je conserver ?
Note complémentaire, et non nécessaire pour répondre à ma question principale :j'apprécierais une explication (ou un lien vers une) sur ce qui provoque la création d'une nouvelle clé MOK alors que vous en avez déjà une qui fonctionne.
Mise à jour :un redémarrage a affiché un écran d'inscription MOK pour la clé créée par Acronis. Mais il n'y a pas eu d'invite lors de l'installation d'Acronis pour configurer un mot de passe, donc je n'ai pas pu l'inscrire. Le module de noyau requis par Acronis est installé et signé, vous pouvez donc supprimer les clés Acronis en toute sécurité. Puis-je simplement supprimer /var/lib/sb/MOK.* ?
Connexe :Comment installer et utiliser PyCharm sans avoir à utiliser un terminal ?Réponse acceptée :
J'ai utilisé mokutil --list-enrolled pour voir quelles clés étaient utilisées. Il y a une clé que j'ai créée, une clé pour la signature de code par Ubuntu et une clé Ubuntu CA.
Comme Acronis est en cours d'exécution et que la clé qu'il a créée n'est pas utilisée, j'ai supprimé `/var/lib/sb/MOK.*
Ensuite, j'ai exécuté mokutil --export qui m'a donné les 3 clés. En exécutant un diff sur ces 3 clés exportées par rapport aux fichiers der présents sur ma machine, j'ai découvert que la clé n ° 1 est /root/keyfiles/MOK.der et la clé #2 est /var/lib/shim-signed/mok/MOK.der . J'ai donc chiffré /var/lib/shim-signed/mok/MOK.gpg.
Je me suis retrouvé avec 2 paires, une que j'ai créée, une Ubuntu créée. Je vais les laisser tels quels.
J'espère que l'écran d'inscription ne s'affichera plus pour la clé Acronis supprimée.
En ce qui concerne quand demande-t-il d'inscrire une autre clé, la réponse est quelque part ici. Je n'ai pas plongé dedans.
PS :Cette réponse m'a été très utile.