Configuración del Arranque Seguro

sbctl

sbctl es un gestor de claves de arranque seguro fácil de usar, capaz de configurar el arranque seguro, ofrecer capacidades de gestión de claves y hacer un seguimiento de los archivos que necesitan ser firmados en la cadena de arranque.

Instalando sbctl

sudo pacman -S sbctl

Pre-configuración

Gestor de Arranque GRUB

Si estás usando GRUB, ejecuta el siguiente comando para habilitar el soporte de arranque seguro en GRUB usando las claves CA.

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=cachyos --modules="tpm" --disable-shim-lock

Nota

Cargar módulos innecesarios en tu gestor de arranque tiene el potencial de presentar un riesgo de seguridad. Solo ejecuta este comando si realmente necesitas el arranque seguro.

Entrando en Modo de Configuración en UEFI

Primero, necesitamos ir a la configuración del firmware y poner el modo de arranque seguro en “Setup Mode” (Modo de Configuración). Puedes reiniciar desde un sistema ya en funcionamiento a la configuración del firmware con el siguiente comando.

systemctl reboot --firmware-setup

Así es como se ve la BIOS en un Lenovo Ideapad 5 Pro. Restablece al modo de configuración o restaura las claves de fábrica y reinicia de vuelta al sistema.

Sin embargo, algunas placas base MSI no tienen un modo de configuración. Para lograr el mismo efecto, sigue los dos pasos de la imagen a continuación:

Configurando sbctl

sudo sbctl status # Si el modo de configuración está habilitado, podemos proceder al siguiente paso
Installed:      ✘ sbctl is not installed
Setup Mode:     ✘ Enabled
Secure Boot     ✘ Disabled

sudo sbctl create-keys # Crea tus claves de arranque seguro personalizadas
Created Owner UUID a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
Creating secure boot keys...✔
Secure boot keys created!

sudo sbctl enroll-keys --microsoft # Inscribe tus claves con las claves de Microsoft
Enrolling keys to EFI variables...✔
Enrolled keys to the EFI variables!

sudo sbctl status
# sbctl ahora debería estar instalado, podemos proceder a firmar las imágenes del kernel y el gestor de arranque
Installed:      ✔ sbctl is installed
Owner GUID:     a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
Setup Mode:     ✔ Disabled
Secure Boot     ✘ Disabled
Vendor Keys:    microsoft

Firmando la Imagen del Kernel y el Gestor de Arranque

CachyOS proporciona sbctl-batch-sign, un script que toma la lista de archivos que necesitan ser firmados de sudo sbctl verify y los firma todos. Los usuarios de Limine deben saltar a Limine.

Precaución

En sistemas con una estructura de particiones /boot y /boot/efi separadas, es posible que sbctl solo busque binarios EFI en /boot/efi. Esto provoca que las imágenes del kernel que se encuentran en /boot no se detecten. sbctl-batch-sign soluciona esto buscando siempre los archivos vmlinuz-* en /boot.

sudo sbctl verify
Verifying file database and EFI images in /boot...
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn4.0.fc40.x86_64/linux is not signed
✘ /boot/EFI/BOOT/BOOTX64.EFI is not signed
✘ /boot/EFI/systemd/systemd-bootx64.efi is not signed
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/0-rescue/linux is not signed
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn3.0.fc40.x86_64/linux is not signed

sudo sbctl-batch-sign

sudo sbctl verify
Verifying file database and EFI images in /boot...
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn4.0.fc40.x86_64/linux is signed
✔ /boot/EFI/BOOT/BOOTX64.EFI is signed
✔ /boot/EFI/systemd/systemd-bootx64.efi is signed
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/0-rescue/linux is signed
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn3.0.fc40.x86_64/linux is signed

Ahora que todos los archivos están firmados. Reinicia tu sistema y ve a la configuración de tu UEFI para habilitar el arranque seguro.

Ten en cuenta que este es un proceso de una sola vez, ya que firmar archivos con la bandera -s guardará esos archivos en la base de datos de sbctl.

Recordatorio

sbctl viene con un hook de pacman lo que significa que firmará automáticamente todos los archivos nuevos tras una actualización del kernel o del gestor de arranque.

systemd-boot

CachyOS usa systemd-boot-update.service proporcionado por systemd para actualizar el gestor de arranque al reiniciar. Esto significa que el hook de pacman de sbctl no firmará los binarios EFI actualizados. Como solución, podemos firmar el gestor de arranque directamente

sudo sbctl sign -s -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi

Limine

Limine es un gestor de arranque especial que permite comprobar el hash de las imágenes del kernel y otros archivos que Limine usa durante el arranque. Si esto está habilitado, cualquier tipo de configuración manual hecha por el usuario, por ejemplo, firmar la imagen a través de sbctl-batch-sign, modificará el hash de los archivos correspondientes y hará que la verificación de suma de comprobación de Limine falle.

Sin embargo, firmar estos archivos no es necesario en Limine porque tiene un proceso de arranque especial que evita el encadenamiento de EFI (chainloading) y las comprobaciones de firma. Los únicos binarios EFI que necesitan ser firmados son Limine mismo.

Limine >= 11.2.0

A partir de Limine 11.2.0, las políticas de Secure Boot se aplican estrictamente cuando el UEFI Secure Boot está activo:

• Una suma de verificación de configuración BLAKE2B debe estar registrada en el binario EFI de Limine, de lo contrario Limine entrará en pánico con: SECURE BOOT IS ACTIVE BUT NO CONFIG CHECKSUM IS ENROLLED
• Todas las rutas de archivos en limine.conf (kernel, initramfs, etc.) deben tener hashes BLAKE2B añadidos (por ejemplo, boot():/vmlinuz-linux#<hash>)
• El editor de configuración está incondicionalmente deshabilitado
• Los conflictos de hash siempre causan un pánico

Para habilitar el registro automático de la suma de verificación de configuración, establece lo siguiente en /etc/default/limine:

ENABLE_ENROLL_LIMINE_CONFIG=yes

Luego ejecuta:

# Usa limine-enroll-config para registrar la suma de verificación de configuración y firmar el binario EFI de Limine
# Esto usa sbctl internamente
sudo limine-enroll-config
sudo limine-update

Verificar que el Arranque Seguro está Habilitado

Para comprobar que el arranque seguro está efectivamente habilitado. Puedes ejecutar uno de los siguientes comandos

sudo sbctl status
Installed:      ✓ sbctl is installed
Owner GUID:     a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
Setup Mode:     ✓ Disabled
Secure Boot:    ✓ Enabled
Vendor Keys:    microsoft

bootctl
System:
      Firmware: UEFI 2.80 (INSYDE Corp. 28724.16435)
 Firmware Arch: x64
   Secure Boot: enabled (user)
  TPM2 Support: yes
  Measured UKI: no
  Boot into FW: supported

Enlaces y Créditos

• La Wiki de Arch sentó las bases para esta guía. La mayor parte del material aquí fue tomado de allí.
• sbctl - Esta guía fácil para habilitar el soporte de arranque seguro no habría sido posible si no fuera por el increíble trabajo realizado para crear esta pieza de software.
• Improving the Secure Boot Experience por Morten linderud - Artículo de blog de Morten “Foxboron” Linderud sobre cómo la experiencia del arranque seguro era complicada antes de sbctl.