1
0
Fork 0
mirror of https://gitlab.com/bztsrc/bootboot.git synced 2023-02-13 20:54:32 -05:00

Added more docs

This commit is contained in:
bzt 2020-09-27 14:58:38 +02:00
parent 1ac5020e3e
commit fa4d1c5604
2 changed files with 18 additions and 16 deletions

View file

@ -67,21 +67,22 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá
Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható).
2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
```
5. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
```
6. másold át a MOK.cer fájlt az ESP partícióra.
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
8. engedélyezd a Secure Boot-ot.
7. másold át a MOK.cer fájlt az ESP partícióra.
8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
9. engedélyezd a Secure Boot-ot.
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
GRUBX64.EFI-t indítja a MOK Menedzser helyett).

View file

@ -67,21 +67,22 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F
If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
1. download [shim](https://apps.fedoraproject.org/packages/shim)
2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
4. create a public-private key pair and x509 cert with `openssl`.
1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable).
2. download [shim](https://apps.fedoraproject.org/packages/shim)
3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
5. create a public-private key pair and x509 cert with `openssl`.
```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
```
5. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
```
6. copy MOK.cer to the ESP partition.
7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
8. enable Secure Boot.
7. copy MOK.cer to the ESP partition.
8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
9. enable Secure Boot.
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
instead of the MOK Manager hereafter).