我们已经学会制作BIOS启动的磁盘镜像和UEFI启动的磁盘镜像,但我们在使用ubuntu的时候不知道大家有没有注意过一下这个现象,在支持UEFI启动的虚拟机中使用efibootmgr命令查看ubuntu系统的启动顺序
efibootmgr -vBootCurrent: 0005Timeout: 0 secondsBootOrder: 0005,0000,0001,0002,0003,0004Boot0000* UiApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)Boot0001* UEFI VBOX CD-ROM VB0-01f003f6 PciRoot(0x0)/Pci(0x1,0x1)/Ata(0,0,0)N.....YM....R,Y.Boot0002* UEFI VBOX CD-ROM VB2-01700376 PciRoot(0x0)/Pci(0x1,0x1)/Ata(1,0,0)N.....YM....R,Y.Boot0003* UEFI VBOX HARDDISK VBf5cb0757-31383519 PciRoot(0x0)/Pci(0xd,0x0)/Sata(0,65535,0)N.....YM....R,Y.Boot0004* EFI Internal Shell FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(7c04a583-9e3e-4f1c-ad65-e05268d0b4d1)Boot0005* ubuntu HD(1,GPT,6dee24a7-4fe0-466f-b6f8-546e2048aceb,0x800,0x100000)/File(\EFI\ubuntu\shimx64.efi)
通过这个命令我们知道efi会从 Boot0005进行启动,默认的执行程序为 \EFI\ubuntu\shimx64.efi。那么 \EFI\ubuntu\shimx64.efi是何物?如果想知道shimx64.efi文件是什么,可以参考后续文章。这个章节我们不会介绍这个内容,留在后续章节介绍,在这个章节我们将学习如何使用shim制作一个可以支持BIOS启动,也支持UEFI方式启动,同时也支持安全启动的磁盘镜像。
(资料图片仅供参考)
这里不会介绍grub的编译,我们这里直接使用《Grub2那些事 - 制作一个使用UEFI的系统》中编译说产生的文件。这里我们假设工作目录为bios-uefi
$ WORKSPACE=/opt/workspace/$ mkdir -p bios-uefi$ cd $WORKSPACE/bios-uefi
制作秘钥文件
这里我们将创建OVMF安全启动所使用的DB,KEY,PK秘钥。使用以下脚本创建
#!/bin/bash# Copyright (c) 2015 by Roderick W. Smith# Licensed under the terms of the GPL v3echo -n "Enter a Common Name to embed in the keys: "read NAMEfor n in PK KEK dbdo openssl genrsa -out "$n.key" 2048 openssl req -new -x509 -sha256 -subj "/CN=$NAME/" -key "$n.key" -out "$n.pem" -days 7300 openssl x509 -in "$n.pem" -inform PEM -out "$n.der" -outform DERdoneGUID=`python3 -c "import uuid; print(str(uuid.uuid1()))"`echo $GUID > myGUID.txtfor n in PK KEK dbdo sbsiglist --owner "$GUID" --type x509 --output "$n.esl" "$n.der"donefor n in PK=PK KEK=PK db=KEKdo sbvarsign --key "${n#*=}.key" --cert "${n#*=}.pem" --output "${n%=*}.auth" "${n%=*}" "${n%=*}.esl"donechmod 0600 *.keyecho ""echo ""echo "For use with KeyTool, copy the *.auth and *.esl files to a FAT USB"echo "flash drive or to your EFI System Partition (ESP)."echo "For use with most UEFIs" built-in key managers, copy the *.cer files;"echo "but some UEFIs require the *.auth files."echo ""
将这个文件命名为mykeys.sh。
$ chmod +x mykeys.sh
然后执行这个命令
$ mkdir -p keys$ cd keys$ ./mykeys.shEnter a Common Name to embed in the keys: Foo, Inc. Secure Boot key setGenerating RSA private key, 2048 bit long modulus (2 primes)..................+++++.......................................................................................+++++e is 65537 (0x010001)Generating RSA private key, 2048 bit long modulus (2 primes)........+++++.......................+++++e is 65537 (0x010001)Generating RSA private key, 2048 bit long modulus (2 primes).....................................................................................................+++++......................+++++e is 65537 (0x010001)For use with KeyTool, copy the *.auth and *.esl files to a FAT USBflash drive or to your EFI System Partition (ESP).For use with most UEFIs" built-in key managers, copy the *.cer files;but some UEFIs require the *.auth files.
这些秘钥主要为OVMF所使用,我们还需要创建一个用于shim使用的秘钥
openssl genrsa -out "shim.key" 2048openssl req -new -x509 -sha256 -subj "/CN=shim/" -key "shim.key" -out "shim.pem" -days 7300openssl x509 -in "shim.pem" -inform PEM -out "shim.der" -outform DER
这样我们获得了PK,DB,KEK和SHIM秘钥。这些秘钥是后续安全启动所必不可少的。
SHIM编译这个章节介绍一个新的组件编译即SHIM
$ cd $WORKSPACE$ git clone https://github.com/rhboot/shim.git$ make update$ sudo make EFI_PATH=/usr/lib VENDOR_CERT_FILE=$WORKSPACE/bios-uefi/keys/shim.der ENABLE_SBSIGN=1 ENABLE_SHIM_CERT=1 install-as-data...Signing Unsigned original imageinstall -d -m 0755 //usr/share//shim/15.4/x64/install -m 0644 shimx64.efi //usr/share//shim/15.4/x64//install -m 0644 BOOTX64.CSV //usr/share//shim/15.4/x64//install -m 0644 mmx64.efi.signed //usr/share//shim/15.4/x64//mmx64.efiinstall -m 0644 fbx64.efi.signed //usr/share//shim/15.4/x64//fbx64.efi
这样我们获得了已经签发好的shimx64.efi,mmx64.efi和fbx64.efi,这些文件存放在//usr/share//shim/15.4/x64//目录中
创建磁盘镜像这里为了方面,我们直接使用以下命令创建相关的磁盘镜像和分区
$ truncate --size 20G bios-uefi.img# 创建磁盘分区$ sgdisk --clear \ --new 1::+1M --typecode=1:ef02 --change-name=1:"BIOS boot partition" \ --new 2::+100M --typecode=2:ef00 --change-name=2:"EFI System" \ --new 3::-0 --typecode=3:8300 --change-name=3:"Linux root filesystem" \ bios-uefi.imgCreating new GPT entries in memory.Setting name!partNum is 0Setting name!partNum is 1Setting name!partNum is 2Warning: The kernel is still using the old partition table.The new table will be used at the next reboot or after yourun partprobe(8) or kpartx(8)The operation has completed successfully.
使用sgdisk命令创建了3个分区,这里需要重点关注的是各种typecode,每一种typecode表示不同的分区类型
第一个分区用于BIOS第二个分区用于EFI系统分区第三个分区作为根文件系统使用gdisk查看分区的详细信息
$ gdisk -l bios-uefi.imgGPT fdisk (gdisk) version 1.0.5Partition table scan: MBR: protective BSD: not present APM: not present GPT: presentFound valid GPT with protective MBR; using GPT.Disk bios-uefi.img: 41943040 sectors, 20.0 GiBSector size (logical): 512 bytesDisk identifier (GUID): 812C7F89-1AFC-4E66-9923-73378996DF32Partition table holds up to 128 entriesMain partition table begins at sector 2 and ends at sector 33First usable sector is 34, last usable sector is 41943006Partitions will be aligned on 2048-sector boundariesTotal free space is 2014 sectors (1007.0 KiB)Number Start (sector) End (sector) Size Code Name 1 2048 4095 1024.0 KiB EF02 BIOS boot partition 2 4096 208895 100.0 MiB EF00 EFI System 3 208896 41943006 19.9 GiB 8300 Linux root filesystem
做好分区后,我们将相关的分区进行格式化
# 使用回环设备$ LOOPDEV=$(losetup --find --show bios-uefi.img)$ sudo partprobe ${LOOPDEV}# 创建文件系统$ sudo mkfs.fat -F32 ${LOOPDEV}p2$ sudo mkfs.ext4 -F -L "root" ${LOOPDEV}p3 # 这里我们使用了root作为标签mke2fs 1.45.5 (07-Jan-2020)Discarding device blocks: doneCreating filesystem with 5216763 4k blocks and 1305600 inodesFilesystem UUID: 197e687e-b9b1-4d5b-8ff2-87e635d08801Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 4096000Allocating group tables: doneWriting inode tables: doneCreating journal (32768 blocks): doneWriting superblocks and filesystem accounting information: done
使用以上步骤,格式化EFI系统分区和root文件系统分区。
首先将rootfs.tar解压到系统的第三个分区中,将第三个分区作为根文件系统
$ MOUNTDIR=$(mktemp -d -t workXXXXXX)$ mount ${LOOPDEV}p3 $MOUNTDIR$ sudo tar -C $MOUNTDIR -xf $WORKSPACE/buildroot/output/images/rootfs.tar
安装支持BIOS启动
我们使用以下命令将grub安装到磁盘的第一个扇区,注意的是在GPT系统分区的磁盘中,第一个扇区叫做PMBR。由于其前446个字节没有使用,我们这里完全可以将GRUB安装到这个位置。
$ sudo /opt/workspace/grub-bios/sbin/grub-install --boot-directory=/mnt/boot --modules="part_msdos" ${LOOPDEV}
安装好后,我们做一下清理工作
$ sudo umount $MOUNTDIR
到这里,我们将获得一个支持bios启动的系统盘,由于还没有把内核镜像放进去,所以还不能正常启动
$ qemu-system-x86_64 -m 512 -drive file=./bios-uefi.img,format=raw -m 512
系统将正常启动。
安装支持安全启动的UEFI下面我们将安装支持UEFI安全启动的系统盘,我们希望无论打开安全启动或者没有打开系统都能够正常启动。让我们开始我们的工作吧。
创建EFI的基本目录结构,并且将shim相关的文件拷贝到当前目录中
$ MOUNTDIR=$(mktemp -d -t workXXXXXX)# 加载系统的第二个EFI系统分区$ mount ${LOOPDEV}p2 $MOUNTDIR$ mkdir -p EFI/BOOT$ mkdir -p EFI/test$ cp //usr/share//shim/15.4/x64//* .
然后,使用shim秘钥对shimx64.efi程序进行签发
$ sbsign --key keys/db.key --cert keys/db.pem --output shimx64.efi.signed shimx64.efiwarning: data remaining[804864 vs 930262]: gaps between PE/COFF sections?warning: data remaining[804864 vs 930264]: gaps between PE/COFF sections?Signing Unsigned original image
签发grub镜像,对于比较新的Grub版本,这里需要注意的是这里需要提供一个sbat文件
$ cat <
我们这里使用了grub-mkimage命令创建grubx64.efi程序,这里需要注意几个选项
-O 指示目标架构-p 告诉创建目录的前缀,这里我们使用了一个叫做test的测试系统,所以这里指定的目录为/EFI/test,你也可以指定其他目录--sbat sbat文件,在下一个章节我们将详细的介绍这个文件此时,我们使用DB秘钥签发了SHIM,使用shim秘钥签发了grub。在Ubuntu发行版本中一般通过微软进行签发SHIM,使用Canonical签发其他文件。
接着,我们将制作一个支持安全启动的OVMF固件,这里我们使用了在《Grub2那些事 - 制作一个使用UEFI的系统》制作的OVMF程序。
$ cp $WORKSPACE/tianocore/edk2/Build/OvmfX64/DEBUG_GCC5/FV/OVMF_CODE.fd \ $WORKSPACE/tianocore/edk2/Build/OvmfX64/DEBUG_GCC5/FV/OVMF_VARS.fd \ $WORKSPACE/tianocore/edk2/Build/OvmfX64/DEBUG_GCC5/FV/OVMF.fd ..$ cp keys/db.der keys/KEK.der keys/PK.der hda-contents/
将OVMF相关编译的文件拷贝到当前目录,并且将DB,KER,PK的证书文件放到hda-contents目录中,这个目录我们用于将证书导入到OVMF中。
$ qemu-system-x86_64 -L . \ -drive if=pflash,format=raw,readonly,file=OVMF_CODE.fd \ -drive if=pflash,format=raw,file=OVMF_VARS.fd \ -drive file=fat:rw:hda-contents,media=disk,format=raw \ -net none
启动qemu后,接着我们将相关的证书导入到OVMF固件中。在UEFI中有一个很重要的概念即变量,UEFI根据存储在闪存中的变量来决定执行。所以操作UEFI的变量其实是直接操作闪存中的存储信息。我们运行支持UEFI的qemu模拟器后。将进入一下界面
等待几秒钟,或者直接按其他任何按键,系统将进入 UEFI Shell。进入命令行界面后,我们输入 exit。可以直接进入UEFI的图形配置界面。依次进入 "Device Manager"→"Secure Boot Configuration"→ "Secure Boot Mode",选择 Custom Mode
选择出现的“Custome Secure Boot Options”,我们将进入相关秘钥导入的界面
下面将以PK秘钥的导入为例,说明如何当如PK秘钥导入UEFI中。选择 “PK Options”,进入PK的导入界面
选择“Enroll PK”
选择“Enroll PK Using File”
选择对应的文件,这里选择“PK.der”
最后将文件提交到UEFI固件中
然后分别导入DB,PKE秘钥,退出到"Secure Boot Configuration"界面中,在这个界面中我们可以明确的看到安全启动项已经被打开了
继续退出到主界面,选择“Continue”
最后执行Enter键重启,我们就可以得到一个支持安全启动的UEFI固件
细心一点会发现,OVMF_CODE.fd这个文件没有变化,变化的是OVMF_VARS.fd文件,这个文件存储了UEFI中的变量项。在真实的计算机中,很多硬件商存放的是微软的DB,KEK证书,以及自己的PK证书。而在OVMF中默认没有这些信息,所以这里我们创建了自己的PK,DB,KEK秘钥。
回归正传,由于我们在编译shim的过程中让其自动签发了mmx64和fbx64所以,这里我们不需要签发了,但需要注意是shim的mok秘钥管理器中其实存放的是两个证书,一个是其自动生成的用于签发mmx64和fbx64的证书,还有一个是我们导入的shim证书。
将 shimx64.efi.signed,grubx64.efi.signed,mmx64.efi,fbx64.efi放到正确的位置
$ install -m 0644 shimx64.efi.signed EFI/test/shimx64.efi$ install -m 0644 shimx64.efi.signed EFI/BOOT/BOOTX64.efi$ install -m 0644 grubx64.efi.signed EFI/test/grubx64.efi$ install -m 0644 mmx64.efi EFI/test/mmx64.efi$ install -m 0644 mmx64.efi EFI/BOOT/mmx64.efi$ install -m 0644 fbx64.efi EFI/BOOT/fbx64.efi
然后,我们根据UEFI的配置创建一个BOOTX64.CSV文件,UEFI会默认通过这个文件找到正确的启动选项。
$ echo "shimx64.efi,test,,This is the boot entry for Test" | iconv -t UCS-2LE >BOOTX64.CSV$ install -m 0644 BOOTX64.CSV EFI/test/BOOTX64.CSV
到这里,和安全启动相关的配置基本已经完成,接着我们还需要配置grub的配置文件。
$ sudo blkid ${LOOPDEV}p3/dev/loop1p3: LABEL="root" UUID="197e687e-b9b1-4d5b-8ff2-87e635d08801" TYPE="ext4" PARTLABEL="Linux root filesystem" PARTUUID="7e844aef-eb31-433c-9ae0-7330e17f601b"cat <
读过之前文章的对这段估计这样陌生了,我们使用blkid找到第三个分区的UUID,作为grub的默认根文件系统。让grub从第三个分区找真实的grub配置文件,这个配置文件就是一个桥接的过程。
$ MOUNTDIR=$(mktemp -d -t workXXXXXX)$ sudo mount /dev/loop1p3 $MOUNTDIR$ cp $linux_kernl/arch/x86_64/boot/bzImage .sbsign --key keys/shim.key --cert keys/shim.pem --output bzImage.signed bzImage$ cp bzImage.signed $MOUNTDIR/boot/bzImage
使用以上命令签发了linux内核镜像,在UEFI安全启动中,使用SHIM机制,需要将grub和内核,以及内核模块都要经过shim秘钥的签发。所以这里使用shim秘钥签发内核镜像,并将内核镜像拷贝到了第三个分区的/boot目录中。同时还需要更改第三个分区的grub.cfg配置文件,这个配置文件位于 /boot/grub/grub.cfg中。将文件修改为以下内容。
set default="0"set timeout="5"menuentry "Buildroot" { set root="hd0,gpt3" linux /boot/bzImage root=/dev/sda3 rootwait console=tty1}
这个磁盘镜像使用了3个分区,第一个用于bios,其实没用,第二个用于uefi系统分区,第三个用于根文件系统,所以这里设置了第三个分区作为根文件系统。
将第三个分区卸载
$ sudo umount $MOUNTDIR
接着,我们将第二个分区挂在到系统中,并且将制作的EFI文件拷贝到这个分区中。
sudo mount ${LOOPDEV}p2 $MOUNTDIRsudo cp -R EFI $MOUNTDIR
至此,我们完成了UEFI安全系统的磁盘镜像。
验证使用以下命令,支持UEFI安全启动的uefi磁盘能够启动成功
$ sudo qemu-system-x86_64 \ -drive if=pflash,format=raw,readonly,file=./OVMF_CODE.fd \ -drive if=pflash,format=raw,file=./OVMF_VARS.fd \ -drive file=./bios-uefi.img,format=raw -m 512 \ -net none -serial file:serial.log
使用以下命令验证关闭UEFI安全启动的这个磁盘能否启动成功,OVMF.fd这个文件直接从编译的结果获取,没有打开安全启动
$ sudo qemu-system-x86_64 \ -bios OVMF.fd \ -drive file=./bios-uefi.img,format=raw -m 512 \ -net none -serial file:serial.log
使用以下命令验证bios方式的这个磁盘能否启动成功
$ sudo qemu-system-x86_64 \ -drive file=./bios-uefi.img,format=raw -m 512
正常情况下,以上3三种情况都可以正常启动。
efi启动u盘脚本(efi启动U盘)我们已经学会制作BIOS启动的磁盘镜像和U...
华夏时报(www chinatimes net cn)记者刘诗萌北京报道2023年已...
智电出行了解到,沃尔沃EX904座版将于明年在黑龙江大庆工厂投产。新...
1、默默无语建功忙,2、但求跋涉见曙光。3、无奈横遭一片云,4、遮...
张雪峰对记者表示,对于人民币利率互换市场的参与者,将需要更加严...
1、手机里面下个搜狗输入法,符号里面希腊文,这个游戏的特殊符号就...
4月29日,南京银行(SH601009,股价9 42元,市值974亿元)披露2022...
虽然可能扮演大众集团ICE内燃机引擎动力的“最后堡垒”,面对电动车...
1、1,野菜草根,牛粪中未消化的粮食。2、2 突出了红军战士们的坚强...
方家翊,关于方家翊介绍这个很多人还不知道,现在让我们一起来看看吧...
1、A、火箭开始喷气前匀速下降拉力等于重力减去返回舱受到的空气阻...
摩托车大军进淄博吃烧烤警车开道?实为浙江苍南机车嘉年华活动---“...
据悉,红坛单品年度内实现了40%以上的增长,大单品策略的效果逐步显...
1、自驾游线路推荐:神奇天桥笔架山+海滨浴场+龙回头观海+兴城古城2...
楼盘外包装修公司动用承重墙 钢筋都被切断 物业管理不落实 该如...
加州监管机构在周五投票决定,到2036年禁止销售新的柴油卡车,并要...
1、志愿志愿服务队是由广西青年志愿者协会领导下的志愿团体。2、成...
2023年4月29日福建省莴笋批发市场价格最新行情监测显示:2023年4月2...
西安校友校地合作创新发展联盟走进碑林环大学硬科技创新街区暨校友...
桂林象山景区滨江路上临时停车位小车能不能停?七星景区附近哪里有...
南昌县气象台2023年04月29日04时32分发布大风蓝色预警信号:预计未...
李建华享年66岁。
快科技4月29日消息,此前消息已经透露,iQOO将于5月份召开新品发布...
即将进入5月份之际,意甲第32轮迎来了备受关注的争四焦点战,由AC米...
前台南县长、“台湾维新党”召集人苏焕智4月28日晚宣布,将由“台湾...
1、葛佳,1962年生,著名演员葛优的妹妹。毕业于北京大学哲学系,后...
【“五一”假期】全省以晴到多云天气为主,主流媒体,山西门户。山西...
第1批机器受精,试管婴儿出生引起全球的关注,这就是一个科技创新,...
4月27日,“科普走近校园科学筑梦未来”—赋能“双减”系列科普资源...
1、复方多粘菌素B软膏是一种复方制剂,属于外用制剂。其主要成分包...