セキュアブートを無効にしても安全ですか？

セキュアブートでは、WindowsとUbuntuの両方で、すべてのシステムレベルのドライバーに「署名」を要求し、本物のソフトウェアとして承認されたことを証明します。このアイデアはかなり優れており、Windowsでは、Microsoftがほとんどのドライバーに署名しています。

ただし、Ubuntuでは、ユーザーはワイヤレスカード、ビデオカード、または専用ハードウェア用の特別なドライバーを必要とする場合があります。これらのドライバーは、多くの異なるソースから提供される可能性があるため、通常は署名されていません。セキュアブートが有効で、ドライバーが署名されていない場合、これらのドライバーは読み込まれません。それらをロードするには、各ドライバーに「署名」する必要があります。ドライバーに署名するこのプロセスはそれほど難しくありませんが、特にドライバーを変更/更新する場合、またはUbuntuの一部であるカーネルソフトウェアを変更/更新する場合は、面倒な場合があります。変更するたびに、ドライバーを辞任する必要があります。

だから、これを想像してください...あなたのシステムは正常に動作しています...セキュアブートが有効になっています...ドライバーはすべて適切に署名されています...そしてUbuntuのソフトウェアアップデーターを使用して新しいカーネルをインストールします...またはインストールします新しいドライバー...そして、ワイヤレスカードが機能しなくなったり、ビデオカードが正しく表示されなかったり、特殊なハードウェアが機能しなくなったりする場合にのみ、システムを再起動します。ここで、すべてのモジュールを再コンパイルして再署名する必要があります。楽しくない。

私のシステムでは、Ubuntuカーネルが更新されるたびに再署名する必要がある5つのカスタムDKMSドライバーモジュールを使用しています。ああ。

短い話...セキュアブートを無効にして幸せになります。 Windowsは気にしません。Ubuntuはソフトウェアの更新とドライバーのインストールを生き残ります。

セキュアブートをオフにしても安全かどうかは、セキュリティ要件によって異なります。ただし、セキュアブートをオフにする代わりに、カーネルモジュールに署名することもできます。

これを行う方法の簡潔な説明を次に示します。 https://askubuntu.com/a/768310/134479

はい、そうではないでしょう。これは非常に意見の多い質問であり、Ubuntuに関するものではありません。それにもかかわらず、私は公平な方法で答えるために最善を尽くしますので、私は議論を開始せず、あなたがあなた自身の決定を下せるようにすることができます。

セキュアブートは、Microsoftによって署名されている場合にのみオペレーティングシステムの起動を許可するWindows 8以降のラップトップの機能です。 Appleが公式に署名されたアプリとファームウェアのみをiDeviceにインストールすることを許可するようなものです。この機能は通常オフにすることができますが、常にではなく、Linuxで問題を引き起こす可能性があります。

セキュアブートのポイントは、ルートキットやその他のマルウェアなどが、悪意のある目的でブートプロセスをハイジャックするのを防ぐことです。これは、セキュアブートをオンにしておく必要があるかどうかを検討する必要がある場所です。 AdBlockerやPrivacy Badgerなどを使用せずに多くの怪しいWebサイトにアクセスする場合は、そのままにしておくか、または zwets のように NVIDIAモジュールに自分で署名することを検討してください。 。もちろん、ブラウジングが正常で安全であれば、通常はセキュアブートは大丈夫です。

妄想レベルにも依存します。あなたがインターネットを持ちたくない人なら、それがどれだけ安全でない可能性があるかという理由で、おそらくセキュアブートを有効にしておくべきでしょう。あなたが私のような人で、複数のサイトで同じパスワードを使用している場合は、無効にしてください。

セキュアブートについて特別なことはあまりありません。 （正直なところ、ルートキットがそれをバイパスすることはそれほど難しくないように思えます。）しかし、それは本当にセキュリティについてどのように感じるかに依存します。