Для чего именно MOK в Linux?
Ошибки «Отказано в доступе» считаются «нормальными», если ваша находка пытается путешествовать по каталогам, где у вашего пользователя нет разрешения на чтение -или cpв вашей строке пытается записать в каталог, к которому у вас нет доступа.. Вы можете подавить их с помощью перенаправления stderr
#!/bin/bash
sudo find / -type f -name "string.h" -exec cp {} $HOME/MyDocuments \; 2>/dev/null
Паттерн 2>/dev/nullозначает отправку всех ошибок «в никуда» вместо стандартной ошибки -.
Но отправка сообщений об ошибках на /dev/nullне устранит ошибку, связанную с тем, что у вашей команды нет прав на чтение или запись.
объявление 3)
при включенной безопасной загрузке будут разрешены только модули ядра с действительными подписями. Поскольку процесс установки MOK фактически не был завершен, проверка подписи модулей Nvidia не удалась, а поскольку процесс установки модуля Nvidia, вероятно, уже внес в черный список драйверы ядра nouveau-, система, скорее всего, вернулась к исходному состоянию. -ускоренный efifbдрайвер дисплея, который поддерживает только те дисплеи, которые уже настроены прошивкой.
Чтобы защитить систему от несанкционированного изменения MOK, процесс установки MOK запрашивает у микропрограммы сохранение MOK таким образом, чтобы он был доступен только во время загрузки -, а не тогда, когда какая-либо ОС фактически Бег. Из-за этого процесс установки MOK требует перезагрузки.
Во-первых, MOK создается и подготавливается к установке во время работы ОС, а также создается одноразовый -пароль для защиты второй фазы процесса установки. Затем система перезагружается, и shimx64.efiопределяет, что процесс установки MOK запущен, и показывает синий экран MOK Manager при загрузке. В этот момент вы должны выбрать опцию «установить ключ» и подтвердить ее, введя одноразовый пароль -, который был установлен до перезагрузки. Этот пароль больше никогда не потребуется :, если установка MOK прошла успешно, инструменты управления модулями ядра смогут автоматически использовать MOK, когда это необходимо, или, если это не удалось, необходимо будет запустить процесс установки MOK. закончился с самого начала.
Первоначально,Прошивка с безопасной загрузкой будет принимать только файлы загрузчика *.efi(, которые должны использовать двоичный формат PE32/PE32+ в стиле Windows -, а не формат ELF, который использует Linux ), которые либо специально внесены в белый список с помощью криптографического хэша, либо подписаны один из сертификатов Secure Boot в NVRAM прошивки. shimx64.efiдобавит сертификат подписи дистрибутива Linux и, возможно, сертификат MOK в список разрешенных сертификатов (не -постоянно ).
Это позволит shimx64.efiзагрузить загрузчик grubx64.efiи ядро дистрибутива, которые подписаны с помощью ключа подписи безопасной загрузки данного конкретного дистрибутива Linux. При построении для UEFI ядро Linux может включать загрузочную заглушку UEFI, которая сделает ядро похожим на двоичный файл PE32+, поэтому ядро также можно подписать способом, совместимым с безопасной загрузкой -.
Спецификация безопасной загрузки требует, чтобы ядро выполняло требование о проверке всех сигнатур кода ядра -перед его выполнением, иначе любые ядра, не соответствующие -, могут быть занесены в черный список будущим микропрограммным обеспечением, совместимым с безопасной загрузкой -. версии. Поэтому ядро также будет проверять по подписи -все загружаемые модули ядра. Для этой цели ядро аксиоматически доверяет ключу подписи, с которым оно было собрано. Ядра дистрибутива обычно добавляют принятые ключи безопасной загрузки в свой белый список (, см. keyctl list %:.builtin_trusted_keysи keyctl list %:.secondary_trusted_keysв современных Linux, или keyctl list %:.system_keyringв более старых версиях )-, это будет включать MOK, если он установлен.