====== mokutil ======


Importe une clé publique dans le MOK (Machine Owner Key), une liste de clés gérée par l'utilisateur pour le démarrage sécurisé. Cette commande est souvent utilisée pour ajouter des clés de confiance pour des modules ou applications spécifiques.
  mokutil --import <fichier_certificat>

Supprime une clé du MOK.
  mokutil --delete <clé>
  
Affiche les clés en attente d'ajout au MOK.
  mokutil --list-new

Vérifie l'état du démarrage sécurisé (activé ou désactivé).
  mokutil --sb-state

Liste les clés actuellement enregistrées dans le MOK.
  mokutil --list-enrolled 

===== sign-file =====


Signe un fichier (par exemple, un module du noyau) avec une clé privée et un certificat. Ceci est utilisé pour valider l'intégrité du fichier lors du démarrage.
  sign-file sha256 <clé_privée> <certificat> <fichier>

==== sbverify ====


Vérifie la signature d'un fichier signé par sign-file ou sbsign.
  sbverify <fichier_signé>

==== sbsign ====

Signe une application EFI (par exemple, un chargeur de démarrage). 
  sbsign --key <clé_privée> --cert <certificat> <fichier_efi> --output <fichier_signé>

==== Installation et configuration: ====

Installe les paquets nécessaires, y compris shim et mokutil. 


  apt install shim-signed mokutil

Installe les paquets liés au noyau, aux en-têtes et au chargeur de démarrage GRUB pour le démarrage sécurisé. 

  apt install linux-image-amd64 linux-headers-amd64 grub-efi-amd64-signed

=== Démarrage sécurisé: ===
Activer le démarrage sécurisé dans le BIOS/UEFI:
Il est nécessaire d'activer le démarrage sécurisé dans les paramètres du **BIOS/UEFI** pour que **shim** fonctionne correctement.
Enrôler les clés:
Après l'importation de clés dans le **MOK**, il est souvent nécessaire de redémarrer et d'enrôler ces clés dans le processus de démarrage sécurisé. 

7. Autres commandes utiles:

Affiche le contenu du répertoire EFI de Debian, où se trouvent les fichiers de démarrage. 

    ls /boot/efi/EFI/debian
    
Vérifie si un module du noyau a été signé.

  modinfo <module> | grep sig

En résumé, les commandes **"shim"** sur Debian sont principalement utilisées pour gérer les clés de confiance, signer les fichiers critiques au démarrage, et configurer le démarrage sécurisé **UEFI**. Elles permettent de s'assurer que seul le code autorisé est exécuté au démarrage, renforçant la sécurité du système