Как удалить «Загрузчик с последовательной загрузкой Secure Boot (двоичный файл, подписанный Microsoft)»?

Во время обновления программного обеспечения Ubuntu 20.04 меня уведомили, что «Загрузчик с загрузкой по цепочке Secure Boot (двоичный файл, подписанный Microsoft)» будет установлен/обновлен. Я не хочу разрешать выполнение любых двоичных файлов, подписанных Microsoft, во время загрузки, есть ли способ удалить это? Чтобы в будущем не получать подобные предложения по обновлению.

Единственный продукт Microsoft, который у меня есть, — это Teams, и я хочу, чтобы он был как можно более изолированным.

Вы можете использовать «Метод 2 — отключить безопасную загрузку с прокладкой» из https://wiki.ubuntu.com/UEFI/SecureBoot/DKMS Вам нужно будет установить мокутил. Пожалуйста, напишите отзыв, если вы попробуете это.

Или «Способ 3 — отключить безопасную загрузку из BIOS».

Обратите внимание, что подписанный прокладкой не является "нежелательным", см. это для объяснения его происхождения. И если бы вы использовали безопасную загрузку, вы бы предпочли подписанный прокладкой обновлено.

~ тл; др: ~

Хотя я в целом сочувствую этому настроению, я уверен, что вы придерживаетесь неправильного подхода. На самом деле, это отодвинет вас от конечной цели гораздо дальше, чем вы есть на самом деле.

Если вы используете этот цепной загрузчик в безопасном режиме, то ваша среда уже настолько «свободна от подписи MS», насколько это возможно. У вас есть одна поддельная подпись MS, которая рекурсивно поддается каждой вещи, которую она загружает во время загрузки. Другими словами, все.

Другое (временное) решение: отключить SecureBoot. Таким образом, ни этот загрузчик, ни какие-либо другие двоичные файлы, подписанные MS. Работает только в том случае, если это все еще настройка BIOS на вашем компьютере. Многие новые ПК и ноутбуки оснащаются системой BIOS «Только SecureBoot» без устаревшей опции.

~ Объяснение: 2 вещи.. ~

вещь 1:

Прежде всего, в среде Linux «подписан Microsoft» не обязательно означает, что он действительно подписан Microsoft. Это просто означает, что кто-то сделал так, как есть.Мы делаем это для программного обеспечения, которое будет запускаться в процессе загрузки, чтобы оно работало без ограничений в среде, где включена функция SecureBoot (SB).

Это все, чем на самом деле является SecureBoot. Это ничего не защищает. Он просто отключает привилегии, такие как доступ в Интернет, для обработки кода, работающего во время загрузки, который не привязан к цифровой подписи MS.

К сожалению, программное обеспечение, которое запускается во время загрузки, является одним из наиболее важных системных программ на вашем компьютере. Во-первых, в это время загружается большая часть прошивки. Это обеспечивает доступ к физическим ресурсам, среди прочего.

Поэтому, если у вас включена функция SecureBoot и есть интернет, скорее всего, вы используете подписанное программное обеспечение. Насколько мне известно, Ubuntu еще не сделала скачок и не начала создавать модули ядра. Или есть?

Вещь 2:

Один из способов обойти правило SB «Только подписанный код во время загрузки» — это цепная загрузка вашего программного обеспечения. С цепным загрузчиком доверие возвращается к первому звену в цепочке. Для вас это загрузчик.

Во-первых, это означает, что если вы удалите его, SecureBoot работать не будет.

На самом деле, это неправильно. Если вы удалите его, безопасная загрузка будет работать, а это гораздо хуже, имхо. Этот момент важен, так как он лежит в основе этого ответа.

Здесь нельзя не заметить иронии. Этот ответ лучше всего можно обобщить следующим утверждением:

~ ВЫНОС ~

В своем вопросе вы прямо указываете

Я не хочу, чтобы любые двоичные файлы, подписанные Microsoft, выполнялись во время загрузки...

Если это ваша конечная цель, и вы используете среду с поддержкой SecureBoot, загрузчик с цепочкой загрузки SecureBoot (подписанный Canonical??) единственное, что избавляет вас от необходимости заменять каждую загрузочную программу в вашей системе на альтернативу Microsoft.