前幾天,桌機(主機板:微星 PRO H610M-E DDR4 MATX主機板)僅僅是新增了一條 8GB 的記憶體,沒想到,竟出現了無法開機的結果。
Loading initial ramdisk …
錯誤: you nees to load the kernel first。
嘗試用「USB 隨身碟」重新開機,也出現了無法開機的結果。
Something has gone seriously wrong: SBAT self-check failed:Security Policy Violation.
花了一些時間查詢資料,原來是「Security Boot」問題。
又花了一些時間研究,並嘗試想要利用 mokutils 這個工具來解決問題,但又一直失敗。
直到讀到了這篇天書文章:Managing EFI Boot Loaders for Linux: Dealing with Secure Boot,我便真正死心,決定從主機板下手,直接關閉「Security Boot」選項。
這篇文章,九成九實在看不懂,但有看到,關閉主機板支援「EFI Security Boot」選項,便決定不糾結了,就使用這個方式。
我的桌機是使用「微星主機板」,依據這份文件:Intel 600 系列 BIOS 使用者指南 的作法,來關閉「Security Boot」選項。
先進入 BIOS 畫面,並進入安全性項目。
先解決造成「USB 隨身碟」無法開機的問題。
- 選擇「Trusted Computing」
- 可以看到預設值是「Enable」,將之改成『Disable』
再解決造成「核心金鑰錯誤」無法開機的問題。
- 選擇「安全開機」
- 將預設「啟動」改成「取消」
- 最後直接按 F10 儲存,並重新開機即可。
- 選擇「自行定義」
- 選擇刪除所有的 key 。
- 系統習慣上都會要我們再做確認,以免誤判。
- 刪完之後,是否要重新開機。
- 可以看到所有的 key 都被清掉了。
在關閉 Security Boot 設定,並重新開機後,查看一下設定,果真關得徹底。
不過,這個實在不知其代表的意義。
後來又看到更其他人對於 Security Boot 設定的封印紀錄:微星主板如何关闭secure boot?|微星主板关闭安全启动的方法,看來因這問題受到影響者,眾矣!
附註
有關 Secure Boot 相關說明
- ▶▶Secure Boot
- ▶▶Secure Boot
- ▶▶Secure Boot Mode
- ▶▶Enroll all Factory Default keys
- ▶▶Delete all Secure Boot variables
- ▶▶Key Management
- ▶▶Provision Factory Default keys
- ▶▶Enroll all Factory Default keys
- ▶▶Delete all Secure Boot variables
- ▶▶Save all Secure Boot variables
- ▶▶Enroll Efi Image
- ▶▶Platform Key (PK): ? ? ?
- ▶▶Set New Key
- ▶▶Delete Key
- ▶▶Key Exchange Keys: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Authorized Signatures: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Forbidden Signatures: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Authorized TimeStamps: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
按 Enter 進入子選單。
僅當 Platform Key(PK) 註冊並相應地運行時,才能啟用安全開機功能。
選擇安全開機模式。此項用於選擇如何加載安全開機密鑰。此項目僅有在 “Secure Boot” 啟用時才會顯示。
[Standard] 系統將自動從BIOS加載安全密鑰。
[Custom] 用戶可對安全開機進行設定並手動加載安全密鑰。
您可以設定所有安全密鑰。設定將會在重新啟動後或下次重新啟動時應用。當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。設定將會在重新啟動後或下次重新啟動時應用。
當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
按 Enter 進入子選單。管理安全開機密鑰。當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
啟用或停用出廠預設密鑰。
您可以設定所有安全密鑰。設定將會在重新啟動後或下次重新啟動時應用。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。設定將會在重新啟動後或下次重新啟動時應用。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。
在安全開機模式下,允許圖像運行。將 PE 圖像的 SHA256 哈希證書註冊到合法授權的數據庫 (db)。
平台密鑰(PK)可以保護韌體免受任何未經驗證的更改。在您進入作業系統之前,系統將驗證 PK。平台密鑰(PK)用於更新 KEK。
為系統設定一個新的 PK。
刪除系統中的 PK。
密鑰交換(KEK)用於更新 DB 或 DBX。
為系統設定一個新的 KEK。
從儲存裝置向系統加載額外 KEK。
刪除系統中的 KEK。
授權簽名 (DB) 列出可被載入的授權簽名。
為系統設定一個新的 DB。
從儲存裝置向系統加載額外 DB。
刪除系統中的 DB。
禁止簽名(DBX)列出不受信任且無法加載的禁止簽名。
為系統設定一個新的 DBX。
從儲存裝置向系統加載額外 DBX。
刪除系統中的 DBX。
授權時間圖章 (DBT) 列出具有授權時間圖章的身份驗證簽名。
為系統設定一個新的 DBT。
從儲存裝置向系統加載額外 DBT。
路過 這個鬼選項 害我開機會卡在左上角底線 進不了系統
找出問題前 開機前還要把所有usb裝置全拔了