CentOSとかのsecureboot対応ってshimにパッチ当てて自分の証明書ハードコーディングするようになってんのかな
@yomi Red Hat と Ubuntu は Microsoft に署名してもらってたような。CentOS はわからんけど。
@orumin https://github.com/CentOS/sig-core-SecureBoot/blob/master/CentOS_7/shim/SOURCES/0001-Add-vendor-esl.patch
これ見てるとベンダーのeslをハードコーディングしてその署名を通してるような気がする。というかRHELとかUbuntuはカーネルとかgrubの署名もマイクロソフトのやつ使ってるんだろうか
@yomi あれ shim だけでカーネルとかは独自なのかな。どうなんだろ。
@orumin srpm見た感じカーネルはcentosの署名になってると思う(たぶんgrubも)。なんかshimx64.efiにcentosの自己署名の証明書で署名してるっぽくて、そもそも最初のshimの起動どうなっとるんや?になってる
@yomi それは REHL や Ubuntu と違って shim への署名は自分で MOK に登録してくれよな!式な気がする。
@orumin MOKに登録すれば起動できるのはわかるんだけどCentOSのインストーラーはいったいどうやって起動してるんだろう
@yomi それは SecureBoot 有効だと起動しないんじゃ?
@yomi あるいはインストーラーの前に MOK に登録するか。どっちかじゃないかなあ。
@yomi REHL の Microsoft 署名つき shim を CentOS でも使っているのならその限りではなくてインストーラーもそれで起動するはずだけど。
@yomi Microsoft の署名は MS に投げておーねがいっ!てやるやつだからパッケージレシピにはその署名つける下りは書かれないだろうし。
@orumin あーカーネルとかはcentosが自分の署名つけててそれを検証できるようにしたパッチ付きのshimをマイクロソフトに署名してもらってるってことなんかな
@yomi 少なくとも REHL や Ubuntu はそうしてたはず?なので CentOS がなんもなしに起動できてるなら CentOS でもそうなんじゃないかなあ。(どうせ鍵とか同じだろうから REHL で使ってるバイナリをパッケージングしただけになってたりしそうだけど
