Я бы скорее описал процесс загрузки как:
1. )Включите питание, начните выполнять безопасную загрузку -микропрограммы с поддержкой UEFI
2. )Микропрограмма проверяет любые потенциальные загрузчики по наборам ключей безопасной загрузки, которые хранятся в системной NVRAM (или скомпилированы -с настройками по умолчанию ).
3. )Загрузчик должен таким же образом проверять ядро ОС.
4. )Чтобы быть совместимым с безопасной загрузкой -и эффективным, ядро Linux также должно криптографически проверять все загруженные модули ядра.
Современные ядра включают дополнительную функцию для пункта 4. ):Ядра корпоративных дистрибутивов, такие как RedHat, включают ее автоматически при загрузке в системе, поддерживающей безопасную загрузку -. Пользовательские ядра могут быть снабжены ключом подписи во время компиляции.
Для ядер RedHat во время выполнения список разрешенных ключей: (ключ, используемый для подписи основного ядра )+ (все, что находится в наборе ключей безопасной загрузки db
)+ (разрешенные ключи в наборе MOK
, используемом shim.efi
, если он существует ).
Таким образом, если вы используете безопасную загрузку и планируете использовать сторонние -модули ядра с ядрами дистрибутива, вам необходимо подписать их и получить ключ подписи в списке разрешенных. Но если вы запускаете свои собственные ядра и/или контролируете свои ключи безопасной загрузки, ваш закрытый ключ безопасной загрузки можно использовать и для подписи сторонних -модулей.
Чтобы вы могли управлять безопасной загрузкой, ваша система должна позволять вам изменять ключи безопасной загрузки. Есть четыре (набора ключей ), которые вас интересуют:
db
, набор общедоступных сертификатов разрешенных загрузчиков и/или контрольных сумм SHA256 разрешенных загрузчиков dbx
набор общедоступных сертификатов и/или контрольных сумм явно занесенных в черный список загрузчиков.KEK
, набор общедоступных сертификатов, которые используются для проверки любых подписанных обновлений до db
PK
единственный и единственный сертификат первичного ключа (), который используется для проверки подписанных обновлений KEK
. По умолчанию система должна иметь PK производителя оборудования, а также ключи Microsoft и производителя оборудования в KEK
и db
. Это позволяет использовать сертифицированные Microsoft -загрузчики (, которые включают в себя «прокладку», используемую с некоторыми системами Linux ), и средства обновления микропрограммы производителя оборудования из -из -коробки -.
Первым шагом будет очень внимательное изучение настроек UEFI BIOS Setup. В некоторых системах программа установки позволяет как добавлять, так и удалять все ключи безопасной загрузки. В других системах единственными вариантами являются возврат к заводским ключам по умолчанию и очистка всех ключей. Если ваша установка требует очистки всех ключей, чтобы иметь возможность использовать пользовательские ключи, вы можете сначала сделать резервную копию любых существующих ключей, чтобы при желании их можно было выборочно восстановить.
В соответствии со спецификацией безопасной загрузки, если PK
не установлен, безопасная загрузка будет находиться в так называемом -режиме настройки, который позволяет свободное редактирование всех наборов ключей и неограниченную загрузку. Итак, в идеале вы хотите просто удалить PK
, но пока оставить остальные клавиши как -.
В лучшем случае это позволяет редактировать ключи безопасной загрузки из операционной системы, -поддерживающей UEFI, с помощью соответствующих инструментов; В худшем случае необходимо использовать UEFI Shell и утилиту keytool.efi
из пакета efitools Джеймса Боттомли .
Вероятно, ваша конечная цель должна быть примерно такой:
db
должен содержать :KEK
должен содержать :db
иdbx
db
и/или dbx
, и эти обновления не будут успешно установлены, если доступ в безопасной загрузке отказано PK
, чтобы безопасная загрузка снова стала эффективной. Клонирование – это просто клонирование, (идентичная копия )клонируемого.
Чтобы изменить размер, вы должны изменить размер раздела на клонированном диске с помощью инструмента ex. расстались.
Ссылка.:https://www.tecmint.com/parted-command-to-create-resize-rescue-linux-disk-partitions/