Как добавить ключи Microsoft в черный список в secureboot
Существует переменная среды kerberos, указывающая на расположение файла keytab kerberos, KRB5 _KTNAME. И вы, конечно, можете установить это глобально, но тогда все приложения будут смотреть на этот файл keytab.
Но я, наконец, нашел отличный способ установить его для конкретного приложения, когда конфигурация приложения явно не допускает этого. Я добавил переменную среды kerberos keytab KRB5 _KTNAME в /etc/default/ssh (, остальная часть файла ниже уже была там по умолчанию):
/etc/default/ssh
# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.
# Options to pass to sshd
SSHD_OPTS=
KRB5_KTNAME=/etc/krb/host.keytab
В приведенном выше файле указан файл init.d, но многие служебные файлы systemd также ссылаются на этот файл. В моей установке Ubuntu 16.04 вот соответствующий раздел файла sshd.service по умолчанию:
/lib/systemd/system/sshd.service
[...]
[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
[...]
Конечно, если ваш служебный файл не содержит строки «EnvironmentFile», вы можете добавить ее, как указано выше, или отредактировать служебный файл, указав на любой файл с определенной переменной окружения KRB5 _KTNAME.
Это можно сделать через UEFI BIOS. Загрузитесь в него и выберите:
«Удалить все ключи безопасной загрузки» -имя этого параметра зависит от BIOS.
Затем снова приступайте к установке собственного ключа MAK: