mirror of
https://gitlab.com/bztsrc/bootboot.git
synced 2023-02-13 20:54:32 -05:00
Added more docs
This commit is contained in:
parent
1ac5020e3e
commit
fa4d1c5604
2 changed files with 18 additions and 16 deletions
|
@ -67,21 +67,22 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá
|
|||
Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
|
||||
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
|
||||
|
||||
1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
|
||||
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
|
||||
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
|
||||
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
|
||||
1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható).
|
||||
2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
|
||||
3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
|
||||
4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
|
||||
5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
|
||||
```
|
||||
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
||||
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
||||
```
|
||||
5. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
|
||||
6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
|
||||
```
|
||||
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
||||
```
|
||||
6. másold át a MOK.cer fájlt az ESP partícióra.
|
||||
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
|
||||
8. engedélyezd a Secure Boot-ot.
|
||||
7. másold át a MOK.cer fájlt az ESP partícióra.
|
||||
8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
|
||||
9. engedélyezd a Secure Boot-ot.
|
||||
|
||||
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
|
||||
GRUBX64.EFI-t indítja a MOK Menedzser helyett).
|
||||
|
|
|
@ -67,21 +67,22 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F
|
|||
If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
|
||||
not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
|
||||
|
||||
1. download [shim](https://apps.fedoraproject.org/packages/shim)
|
||||
2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
|
||||
3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
|
||||
4. create a public-private key pair and x509 cert with `openssl`.
|
||||
1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable).
|
||||
2. download [shim](https://apps.fedoraproject.org/packages/shim)
|
||||
3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
|
||||
4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
|
||||
5. create a public-private key pair and x509 cert with `openssl`.
|
||||
```
|
||||
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
||||
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
||||
```
|
||||
5. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
|
||||
6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
|
||||
```
|
||||
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
||||
```
|
||||
6. copy MOK.cer to the ESP partition.
|
||||
7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
|
||||
8. enable Secure Boot.
|
||||
7. copy MOK.cer to the ESP partition.
|
||||
8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
|
||||
9. enable Secure Boot.
|
||||
|
||||
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
|
||||
instead of the MOK Manager hereafter).
|
||||
|
|
Loading…
Reference in a new issue