前幾天,桌機(主機板:微星 PRO H610M-E DDR4 MATX主機板)僅僅是新增了一條 8GB 的記憶體,沒想到,竟出現了無法開機的結果。
Loading initial ramdisk …
錯誤: you nees to load the kernel first。
嘗試用「USB 隨身碟」重新開機,也出現了無法開機的結果。
Something has gone seriously wrong: SBAT self-check failed:Security Policy Violation.
花了一些時間查詢資料,原來是「Security Boot」問題。
又花了一些時間研究,並嘗試想要利用 mokutils 這個工具來解決問題,但又一直失敗。
直到讀到了這篇天書文章:Managing EFI Boot Loaders for Linux: Dealing with Secure Boot,我便真正死心,決定從主機板下手,直接關閉「Security Boot」選項。
這篇文章,九成九實在看不懂,但有看到,關閉主機板支援「EFI Security Boot」選項,便決定不糾結了,就使用這個方式。
我的桌機是使用「微星主機板」,依據這份文件:Intel 600 系列 BIOS 使用者指南 的作法,來關閉「Security Boot」選項。
先進入 BIOS 畫面,並進入安全性項目。
先解決造成「USB 隨身碟」無法開機的問題。
- 選擇「Trusted Computing」
- 可以看到預設值是「Enable」,將之改成『Disable』
再解決造成「核心金鑰錯誤」無法開機的問題。
- 選擇「安全開機」
- 將預設「啟動」改成「取消」
- 最後直接按 F10 儲存,並重新開機即可。
- 選擇「自行定義」
- 選擇刪除所有的 key 。
- 系統習慣上都會要我們再做確認,以免誤判。
- 刪完之後,是否要重新開機。
- 可以看到所有的 key 都被清掉了。
在關閉 Security Boot 設定,並重新開機後,查看一下設定,果真關得徹底。
不過,這個實在不知其代表的意義。
後來又看到更其他人對於 Security Boot 設定的封印紀錄:微星主板如何关闭secure boot?|微星主板关闭安全启动的方法,看來因這問題受到影響者,眾矣!
附註
有關 Secure Boot 相關說明
- ▶▶Secure Boot
- ▶▶Secure Boot
- ▶▶Secure Boot Mode
- ▶▶Enroll all Factory Default keys
- ▶▶Delete all Secure Boot variables
- ▶▶Key Management
- ▶▶Provision Factory Default keys
- ▶▶Enroll all Factory Default keys
- ▶▶Delete all Secure Boot variables
- ▶▶Save all Secure Boot variables
- ▶▶Enroll Efi Image
- ▶▶Platform Key (PK): ? ? ?
- ▶▶Set New Key
- ▶▶Delete Key
- ▶▶Key Exchange Keys: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Authorized Signatures: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Forbidden Signatures: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
- ▶▶Delete Key
- ▶▶Authorized TimeStamps: ? ? ?
- ▶▶Set New Key
- ▶▶Append Key
按 Enter 進入子選單。
僅當 Platform Key(PK) 註冊並相應地運行時,才能啟用安全開機功能。
選擇安全開機模式。此項用於選擇如何加載安全開機密鑰。此項目僅有在 “Secure Boot” 啟用時才會顯示。
[Standard] 系統將自動從BIOS加載安全密鑰。
[Custom] 用戶可對安全開機進行設定並手動加載安全密鑰。
您可以設定所有安全密鑰。設定將會在重新啟動後或下次重新啟動時應用。當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。設定將會在重新啟動後或下次重新啟動時應用。
當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
按 Enter 進入子選單。管理安全開機密鑰。當 “Secure Boot Mode” 設定為 Custom 時,此項目才會顯示。
啟用或停用出廠預設密鑰。
您可以設定所有安全密鑰。設定將會在重新啟動後或下次重新啟動時應用。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。設定將會在重新啟動後或下次重新啟動時應用。
允許您刪除所有的安全密鑰 (PK、KEK、db、dbt、dbx)。
在安全開機模式下,允許圖像運行。將 PE 圖像的 SHA256 哈希證書註冊到合法授權的數據庫 (db)。
平台密鑰(PK)可以保護韌體免受任何未經驗證的更改。在您進入作業系統之前,系統將驗證 PK。平台密鑰(PK)用於更新 KEK。
為系統設定一個新的 PK。
刪除系統中的 PK。
密鑰交換(KEK)用於更新 DB 或 DBX。
為系統設定一個新的 KEK。
從儲存裝置向系統加載額外 KEK。
刪除系統中的 KEK。
授權簽名 (DB) 列出可被載入的授權簽名。
為系統設定一個新的 DB。
從儲存裝置向系統加載額外 DB。
刪除系統中的 DB。
禁止簽名(DBX)列出不受信任且無法加載的禁止簽名。
為系統設定一個新的 DBX。
從儲存裝置向系統加載額外 DBX。
刪除系統中的 DBX。
授權時間圖章 (DBT) 列出具有授權時間圖章的身份驗證簽名。
為系統設定一個新的 DBT。
從儲存裝置向系統加載額外 DBT。