セキュアブートの設定

事前準備

GRUB ブートマネージャー

GRUB を使用している場合は、以下のコマンドを実行して CA キーを使った GRUB のセキュアブートサポートを有効にしてください。

sudo grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=cachyos --modules="tpm" --disable-shim-lock

ノート

不要なモジュールをブートマネージャーに読み込むとセキュリティリスクになる可能性があります。 実際にセキュアブートが必要な場合のみこのコマンドを実行してください。

UEFI でセットアップモードを有効化

まず、ファームウェア設定に移動してセキュアブートモードを「セットアップモード」に設定する必要があります。起動中のシステムから以下のコマンドでファームウェア設定に再起動できます。

systemctl reboot --firmware-setup

これは Lenovo Ideapad 5 Pro の BIOS の画面です。セットアップモードにリセットするかファクトリーキーを復元し、システムに再起動してください。

一部の MSI 製マザーボードにはセットアップモードがありません。同様の操作を行うには、以下の手順にしたがってください。

また、一部の ASUS 製マザーボードも同様に独立したセットアップモードが実装されていません。

Boot → Secure Boot に移動し、セキュアブートモードを Custom にしてから、Key Management を開き “Delete all Secure Boot Variables” をクリックしてください。

sbctl のインストールとキーの登録

作業を始める前に、sbctl がインストールされているかどうかを確認してください。

sbctl は使いやすさを重視したセキュアブートキーマネージャーです。セキュアブートの設定やキー管理、ブートチェーンで署名が必要なファイルの追跡ができます。

sbctl のインストール方法

ターミナルを開き以下のコマンドを実行

sudo pacman -S sbctl

sbctl のインストールが完了したら、sbctl のセットアップとファームウェアへのキー登録を行います。以下の手順にしたがってください。

1. セットアップモードが有効かどうかを確認してください。

   sudo sbctl status

   正しい出力の例

   Installed:      ✘ sbctl is not installed
   Setup Mode:     ✘ Enabled
   Secure Boot     ✘ Disabled

2. カスタムのセキュアブートキーを作成してください。

   sudo sbctl create-keys

   キー作成成功時の出力例

   Created Owner UUID a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
   Creating secure boot keys...✔
   Secure boot keys created!

3. Microsoft および OEM ファームウェアの組み込みキーとともにキーを登録してください。

   sudo sbctl enroll-keys --microsoft --firmware-builtin

   成功時の出力例

   Enrolling keys to EFI variables...✔
   Enrolled keys to the EFI variables!

   ASUS 製マザーボードで --firmware-builtin は使用しないでください

   一部の ASUS 製マザーボードでは --firmware-builtin フラグを使用すると、EFI キー変数に重複エントリが発生します。(例: Vendor Keys に builtin-db が複数回表示される)
   その後 UEFI 設定からセキュアブートを有効化すると、マザーボードが不適切なキーを検知しブートマネージャーが読み込まれる前に Secure Boot Violation エラーが発生します。

   ASUS 製マザーボードでは --microsoft を使用してください。

   sudo sbctl enroll-keys --microsoft

   Vendor Keys に microsoft builtin-db builtin-db ... と表示されている場合は、キーを再登録する必要があります。すべてのキーを削除することで UEFI のセットアップモードに戻ることができるため、その後 --firmware-builtin を除いた sbctl enroll-keys --microsoft でもう一度実行してください。

4. キーが登録され、セットアップモードが無効になっていることを確認するために、sbctl のステータスをもう一度確認してください。

   sudo sbctl status

   成功時の出力例

   Installed:      ✔ sbctl is installed
   Owner GUID:     a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
   Setup Mode:     ✔ Disabled
   Secure Boot     ✘ Disabled
   Vendor Keys:    microsoft

カーネルイメージとブートマネージャーへの署名

systemd-boot

CachyOS は sbctl-batch-sign を提供しています。これは sudo sbctl verify から署名が必要なファイルの一覧を取得し、一括で署名するスクリプトです。

注意

/boot と /boot/efi を別々のパーティションに分けているシステムでは、sbctl が /boot/efi の EFI バイナリしかスキャンしないことがあります。 これが原因で /boot にあるカーネルイメージが検出されなくなります。sbctl-batch-sign はこの問題を回避するために vmlinuz-* ファイルを /boot で常にスキャンしています。

sudo sbctl verify
Verifying file database and EFI images in /boot...
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn4.0.fc40.x86_64/linux is not signed
✘ /boot/EFI/BOOT/BOOTX64.EFI is not signed
✘ /boot/EFI/systemd/systemd-bootx64.efi is not signed
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/0-rescue/linux is not signed
✘ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn3.0.fc40.x86_64/linux is not signed

sudo sbctl-batch-sign

sudo sbctl verify
Verifying file database and EFI images in /boot...
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn4.0.fc40.x86_64/linux is signed
✔ /boot/EFI/BOOT/BOOTX64.EFI is signed
✔ /boot/EFI/systemd/systemd-bootx64.efi is signed
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/0-rescue/linux is signed
✔ /boot/1c4b5246eef05ac3bc87339323cd5101/6.10.0-cn3.0.fc40.x86_64/linux is signed

これにてすべてのファイルへの署名が完了しました。システムを再起動して UEFI 設定でセキュアブートを有効にしてください。

ASUS 製マザーボードでセキュアブートを有効にするときは

一部の ASUS 製マザーボードでは、セキュアブートを有効化する際にほかのメーカーとは異なる動作をします。

• Other OS ではなく Windows UEFI Mode を使用してください。 名前が悪くまぎらわしいですが、この設定はセキュアブートの強制を制御するものです。 OS Type を Other OS に設定すると、ASUS 製マザーボードではほかの設定にかかわらず、セキュアブートが無効化されます。 そのため、再起動後も sbctl status では Secure Boot: Disabled と表示され続けます。

• 一部の ASUS 製マザーボードにはセキュアブートのオン/オフを独立して切り替えられる設定はありません。 セキュアブートは Windows UEFI Mode を選択することで暗黙的に有効化されるようになっています。

この場合、ASUS BIOS でセキュアブートを有効化するための正しい設定は以下のとおりです。

Boot → Secure Boot
  OS Type          → Windows UEFI Mode
  Secure Boot Mode → Custom

参考としてこちらも確認してください。

-s フラグで署名されたファイルは sbctl のデータベースに保存されるため、これ以降同じ手順を行う必要はありません。

補足

sbctl には pacman フックが付属しているため、カーネルやブートマネージャーのアップデート時に新しいファイルに自動で署名を行います。

CachyOS は systemd の systemd-boot-update.service を使って再起動時にブートマネージャーを更新します。そのため sbctl の pacman フックは更新された EFI バイナリに署名しません。回避策として、ブートマネージャーに直接署名することができます。

sudo sbctl sign -s -o /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed /usr/lib/systemd/boot/efi/systemd-bootx64.efi

Limine

Limine は特殊なブートマネージャーで、ブート時に使用するカーネルイメージやその他のファイルのハッシュを検証できます。この機能が有効な場合、sbctl-batch-sign による署名など、ユーザーが手動で行った変更はファイルのハッシュを変更するため、Limine のチェックサム検証の失敗につながります。

ただし、Limine は EFI チェーンロードと署名チェックをバイパスする特殊なブートプロセスを持つため、これらのファイルへの署名は必要ありません。署名が必要な EFI バイナリは Limine 自身だけです。

Limine 11.2.0 以降について

Limine 11.2.0 より、UEFI セキュアブートが有効な場合は、セキュアブートポリシーがすべてのファイルに対して強制的に適用されるようになりました。

• 設定ファイルの BLAKE2B チェックサムを Limine EFI バイナリにかならず登録する必要があります。登録されていない場合、Limine で SECURE BOOT IS ACTIVE BUT NO CONFIG CHECKSUM IS ENROLLED エラーが発生します。
• カーネルや initramfs など、limine.conf 内のすべてのファイルパスの末尾に、BLAKE2B ハッシュをかならず書き加える必要があります。(例: boot():/vmlinuz-linux#<hash>)
• 設定エディターはすべての環境で無効化されます。
• ハッシュが一致しないときにはかならずエラーが発生します。

設定ファイルのチェックサムを自動で登録するよう設定するには、/etc/default/limine に以下の行を追加してください。

ENABLE_ENROLL_LIMINE_CONFIG=yes

次に、Limine のスプラッシュ画像のハッシュを生成します。

以下の手順には root 権限が必要です。sudo を使用するか、作業前に root ユーザーに切り替えてください。

1. 設定ファイルでスプラッシュ画像の現在の名前とパスを確認してください。

   ターミナルを開き以下のコマンドを実行

   sudo cat /boot/limine.conf

   以下のような行が見つかるはずです。

   wallpaper: boot():/limine-splash.png

2. スプラッシュ画像の BLAKE2B ハッシュを生成し、設定ファイル内でファイルパスの末尾に書き加えてください。

   以下のコマンドを、パスは前の手順で確認したものに置き換えて実行

   sudo b2sum /boot/limine-splash.png

   ハッシュが出力されます。以下はハッシュの例です。

   75205d08fa9c61599897857e861d6b2f6da25465183fc4cc9efecffb22ee630efb510f2ef1b17677db94c28d5c69ad2ceb4d3892f5bec9cfa65c97b5ba16f52f

3. 前の手順で生成したハッシュをコピーしたのち、テキストエディターで設定ファイルを開き、スプラッシュ画像のパスの末尾にハッシュを書き加えてください。

   上記のハッシュ例をそのまま使用せず、かならず前の手順で生成したハッシュを使用してください。

   wallpaper: boot():/limine-splash.png#75205d08fa9c61599897857e861d6b2f6da25465183fc4cc9efecffb22ee630efb510f2ef1b17677db94c28d5c69ad2ceb4d3892f5bec9cfa65c97b5ba16f52f

   このとおりにパスの末尾に # 記号からはじめてハッシュを書き加えて、変更を保存してください。

設定ファイルのチェックサム自動登録を有効化し、スプラッシュ画像のハッシュを生成したら、以下のコマンドを実行して設定ファイルのチェックサムを登録し、Limine の EFI バイナリに署名してください。

# limine-enroll-config を使って設定ファイルのチェックサムを登録し、Limine の EFI バイナリに署名
# 内部では sbctl を使用しています
sudo limine-enroll-config
sudo limine-update

セキュアブート状態の確認方法

セキュアブートが有効かどうかを確認するには、以下のいずれかのコマンドを実行してください。

sudo sbctl status
Installed:      ✓ sbctl is installed
Owner GUID:     a9fbbdb7-a05f-48d5-b63a-08c5df45ee70
Setup Mode:     ✓ Disabled
Secure Boot:    ✓ Enabled
Vendor Keys:    microsoft

bootctl
System:
      Firmware: UEFI 2.80 (INSYDE Corp. 28724.16435)
 Firmware Arch: x64
   Secure Boot: enabled (user)
  TPM2 Support: yes
  Measured UKI: no
  Boot into FW: supported

リンクとクレジット

• このガイドの基礎となった Arch Wiki (クリックすると日本語版に飛びます) — ここに記載された内容の多くはここから引用しています。
• sbctl — このようなわかりやすいセキュアブート設定ガイドは、このソフトウェアの素晴らしい開発があってこそ実現しました。
• Improving the Secure Boot Experience by Morten linderud — sbctl が開発される以前のセキュアブート設定の複雑さについて書かれた Morten “Foxboron” Linderud のブログ記事です。