Est-il sûr de désactiver le démarrage sécurisé? [fermé]


16

Je voulais juste savoir s'il était sûr pour moi de désactiver le démarrage sécurisé dans le but d'installer le dernier pilote graphique Nvidia.

J'utilise Windows 10 aux côtés d' Ubuntu 16.04 sur un Acer Aspire V Nitro . Ils ont chacun leur propre partition sur le même disque dur.


Réponses:


22

Le démarrage sécurisé oblige Windows et Ubuntu à exiger que tous les pilotes de niveau système soient «signés», ce qui prouve qu'ils ont été approuvés comme logiciels authentiques. L'idée est assez bonne et sous Windows, Microsoft signe la plupart des pilotes.

Cependant, sur Ubuntu, l'utilisateur peut avoir besoin de pilotes spéciaux pour sa carte sans fil, sa carte vidéo ou son matériel spécialisé. Ces pilotes ne sont normalement pas signés, car ils peuvent provenir d'un certain nombre de sources différentes. Si le démarrage sécurisé est activé et que les pilotes ne sont pas signés, ces pilotes ne se chargeront pas. Pour qu'ils se chargent, chaque pilote doit être "signé". Ce processus de signature des pilotes n'est pas extrêmement difficile, mais il peut être compliqué ... surtout si vous modifiez / mettez à jour le pilote, ou modifiez / mettez à jour le logiciel du noyau qui fait partie d'Ubuntu. Chaque modification nécessite que vous démissionniez du pilote.

Donc, imaginez ceci ... votre système fonctionne bien ... vous avez activé le démarrage sécurisé ... vos pilotes sont tous correctement signés ... et vous utilisez le logiciel Updater d'Ubuntu et il installe un nouveau noyau ... ou vous installez un nouveau pilote ... et vous redémarrez le système uniquement pour constater que votre carte sans fil peut ne plus fonctionner, votre carte vidéo ne s'affiche pas correctement ou votre matériel spécialisé ne fonctionne plus. Vous devez maintenant recompiler et resigner tous les modules à nouveau. Pas drôle.

Sur mon propre système, j'utilise 5 modules de pilotes DKMS personnalisés qui nécessiteraient une démission après chaque mise à jour du noyau Ubuntu. Oh mon.

Petite histoire ... désactivez le démarrage sécurisé et soyez heureux. Windows ne s'en souciera pas et Ubuntu survivra aux mises à jour logicielles et aux installations de pilotes avec moins de travail de votre part.


Merci pour la contribution! J'ai lu certains endroits qu'après avoir désactivé le démarrage sécurisé, certaines personnes n'ont pas pu redémarrer Windows! Dans quelle mesure est-ce vrai? De plus, en désactivant le démarrage sécurisé, est-il probable que mon ordinateur soit infecté par un virus?
VihanAgarwal

1
J'ai utilisé Windows 8, 8.1 et 10 avec un démarrage sécurisé désactivé, sans aucune difficulté. Je ne peux pas parler des expériences des autres. Virus? Si vous avez un bon programme de protection contre les virus et que vous n’allez pas cliquer sur les liens des e-mails ou des pages Web qui tentent d’installer des logiciels malveillants, tout va bien. Mon avis.
heynnema

2

Le fait de désactiver le démarrage sécurisé en toute sécurité dépend de vos exigences de sécurité. Cependant, plutôt que de désactiver le démarrage sécurisé, vous pouvez également signer le module du noyau.

Voici une description concise de la façon de procéder: /ubuntu//a/768310/134479


Merci pour l'information. Cependant, je ne trouve pas de fichier de signe dans mon répertoire linux-headers / script, apt-file search sign-filene renvoie que les résultats pour la version du noyau jusqu'à 4.4.0-28. J'ai trouvé le fichier .c que je suppose que je dois compiler, mais ma tentative avec sudo make --directory=/usr/src/linux-headers-4.4.0-45/scripts/ sign-fileétait maladroite (et probablement laide à cause de sudo make). Comment construire l'outil de fichier de signe avec les packages actuels et comment l'OP (il demande dans un autre commentaire) peut-il signer le pilote Nvidia? Notez qu'un article mis à jour a été publié sur gorka.eguileor.com.
LiveWireBT

1
@LiveWireBT celui-ci m'a dérouté! Je n'ai pas sign-filedans /usr/src/linux-headers-4.4.0-45/scriptsnon plus , et encore le script que j'utilise des œuvres. Hein?! Le diable est dans les détails: le script est là /usr/src/linux-headers-4.4.0-45-generic/scripts. C'est-à-dire pour connecter les modules /lib/modules/$KVER/updates/dkms, utilisez /usr/src/linux-headers-$KVER/scripts/sign-file.
zwets

1

Oui, non, peut-être. C'est vraiment une question très réfléchie et pas vraiment sur Ubuntu. Néanmoins, je ferai de mon mieux pour répondre de manière impartiale, donc je ne lance pas d'arguments et je peux vous permettre de prendre votre propre décision.

Le démarrage sécurisé est une fonctionnalité des ordinateurs portables Windows 8+ qui permet uniquement à un système d'exploitation de démarrer s'il est signé par Microsoft. C'est un peu comme la façon dont Apple autorise uniquement l'installation d'applications et de micrologiciels officiellement signés sur un iDevice. Cette fonctionnalité peut généralement être désactivée, mais pas toujours, ce qui peut entraîner des problèmes avec Linux.

Le but de Secure Boot est d'empêcher des choses comme les rootkits et autres logiciels malveillants de détourner votre processus de démarrage à des fins malveillantes. C'est là que vous voudrez peut-être déterminer si vous devez ou non conserver le démarrage sécurisé. Si vous visitez de nombreux sites Web louches, sans utiliser quoi que ce soit comme AdBlocker ou Privacy Badger, alors vous voudrez peut-être envisager de le garder ou, comme l' a suggéré zwets , de signer le module NVIDIA vous-même . Bien sûr, si votre navigation est normale et sûre, Secure Boot est généralement bien désactivé.

Cela peut aussi dépendre de votre niveau de paranoïa. Si vous préférez ne pas avoir Internet, en raison de l'insécurité potentielle, vous devriez probablement garder Secure Boot activé. Si vous êtes comme moi et que vous utilisez le même mot de passe pour plusieurs sites, désactivez-le.

Il n'y a pas grand-chose de très spécial à propos de Secure Boot. (Il semble honnêtement que ce ne serait pas si difficile pour un rootkit de le contourner.) Mais cela dépend vraiment de ce que vous pensez de la sécurité.


C'est vraiment utile! J'ai un adblock, mais je visite une tonne de sites Web avec beaucoup de logiciels publicitaires et de logiciels malveillants et je préfère signer mon package. Cela étant dit, j'ai parcouru le lien que vous avez posté par zwets mais ce n'était pas spécifique. Pourriez-vous me guider un peu sur la façon de signer le module?
VihanAgarwal
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.