CentOSとかのsecureboot対応ってshimにパッチ当てて自分の証明書ハードコーディングするようになってんのかな
@yomi Red Hat と Ubuntu は Microsoft に署名してもらってたような。CentOS はわからんけど。
@orumin https://github.com/CentOS/sig-core-SecureBoot/blob/master/CentOS_7/shim/SOURCES/0001-Add-vendor-esl.patch
これ見てるとベンダーのeslをハードコーディングしてその署名を通してるような気がする。というかRHELとかUbuntuはカーネルとかgrubの署名もマイクロソフトのやつ使ってるんだろうか
@yomi あれ shim だけでカーネルとかは独自なのかな。どうなんだろ。
@orumin srpm見た感じカーネルはcentosの署名になってると思う(たぶんgrubも)。なんかshimx64.efiにcentosの自己署名の証明書で署名してるっぽくて、そもそも最初のshimの起動どうなっとるんや?になってる
@yomi それは REHL や Ubuntu と違って shim への署名は自分で MOK に登録してくれよな!式な気がする。
@orumin MOKに登録すれば起動できるのはわかるんだけどCentOSのインストーラーはいったいどうやって起動してるんだろう
@yomi それは SecureBoot 有効だと起動しないんじゃ?
@yomi あるいはインストーラーの前に MOK に登録するか。どっちかじゃないかなあ。
@yomi REHL の Microsoft 署名つき shim を CentOS でも使っているのならその限りではなくてインストーラーもそれで起動するはずだけど。
@yomi Microsoft の署名は MS に投げておーねがいっ!てやるやつだからパッケージレシピにはその署名つける下りは書かれないだろうし。
@orumin あーカーネルとかはcentosが自分の署名つけててそれを検証できるようにしたパッチ付きのshimをマイクロソフトに署名してもらってるってことなんかな
@yomi 少なくとも REHL や Ubuntu はそうしてたはず?なので CentOS がなんもなしに起動できてるなら CentOS でもそうなんじゃないかなあ。(どうせ鍵とか同じだろうから REHL で使ってるバイナリをパッケージングしただけになってたりしそうだけど
@orumin そう、なのでなんもわからなくて困ってる。実際はちゃんと起動する。というか、specみると自己署名のやつしか署名してないように見えるけど、実際のバイナリーみるとマイクロソフトの署名ついてたしどうやってビルドしてるのか謎
@yomi こっちの in_reply_tree https://mstdn.maud.io/@orumin/103519233976361521 みて
