Frågor om "Secure boot" - nödvändigt?

Det gör så att UEFI kontrollerar att det som skall bootas är signerat med den nyckel som specats på förhand. Dvs, det täpper igen möjligheten att byta ut bootloader eller motsv. utan att det märks. Dvs, OSet som bootas ska kunna utgå ifrån att maskinen inte redan tagits över av maliciös kod innan det ens startat.

Om du vill uppnå en säkerhetsmodell för bootprocessen som mer liknar det vi är vana vid från smartphones/tablets/... så är det ju vägen framåt.

Jag vet inte om jag riktigt förstår bakgrunden till den andra frågan men svaret är nej.

Dels kan du normalt ändra vilka nycklar som skall användas i UEFI Setup, vilket skulle låta dig använda en bootloader signerade med antingen distromakarens nyckel eller en helt egen nyckel (kräver ju dock mer arbete) om så önskas, sedan har de flesta större Linuxdistros ett shim-paket med en bootloader signerad av Microsoft om man vill boota på en maskin nedlåst med Microsofts nycklar (se http://packages.ubuntu.com/wily/shim-signed för Ubuntu).

https://wiki.ubuntu.com/SecurityTeam/SecureBoot
https://help.ubuntu.com/community/UEFI
är nog läsvärt specifikt för Ubuntu.

Jag skulle misstänka att om du har SecureBoot påslaget redan vid installation så får du nog mer hjälp med att sätta upp allting.

Jag har inte koll på exakt hur det fungerar i Ubuntus installationsprogram men skulle förvänta mig att den hjälper dig att sätta upp allt (förutsatt en modern Ubuntuversion).

Ja, SecureBoot är en funktion som ingår i UEFI.

Hela processen både UEFI samt BIOS ser mer eller mindre ut såhär.

1, Du startar datorn, BIOS/UEFI går igenom sina procedurer och sina initiala tester (POST).
2, UEFI letar efter en FAT32 partition som är bootbar och finner en bootloader som den bootar.
3, Bootloadern startar och bootar OS

Skillnaden med secureboot är att den tillåter bara en bootloader som har en viss nyckel dvs som är whitelistad helt enkelt får boota. Detta styrs med nycklarna som placeras av moderkortföretaget som fått dessa från Microsoft.

Microsoft har sedan sin nyckel i sin egna bootloader vilket då leder till att den tillåts att boota när du har secureboot igång. Vill du ha en annan bootloader som skall boota måste du gå till Microsoft som utvecklare betala nån viss summa om jag minns rätt och de ger dig rätten att boota denna.

Problem diskussionen blir nu att du måste lita på Microsoft att de inte aktiverar höger och vänster men också tillåter andra att komma in och whitelista sina egna bootloaders. Många vill heller inte göra detta pga att det ger en viss makt åt Microsoft, som säger vad du får och inte får boota med. Många har väl det i nackryggen att Microsoft evil kommer att ha som krav att användaren inte kan stänga av secureboot och sedan göra det svårt för andra OS att få sin bootloader att signeras. I slutändan kan det sluta som det gjort på plattor och mobiler där användare inte får låsa upp bootloadern för att flasha en annan ROM. Dvs du får jailbraka din egna maskin för att installera nått annat....

Bootloadern är det sista som installeras av Ubuntu under en installation och kan installeras när som helst med grub-kommando från terminalen under live system.

Ubuntu fixar nog det automatiskt om du installerar med secure boot på (inte kollat specifikt så kanske det krävs något, bara att googla antar jag).
Om man måste ha secure boot eller inte är upp till dig och Microsoft. Hade för mig att Windows 10 krävde secure boot för att boota men Strejf sade att den inte gör det.

Själv så kör jag utan, orkar inte hålla på med det. Får någon tillgång att installera nån annan bootloader då är det redan kört enligt mig.

En fördel är väl just att det skulle upptäckas.