Importe une clé publique dans le MOK (Machine Owner Key), une liste de clés gérée par l'utilisateur pour le démarrage sécurisé. Cette commande est souvent utilisée pour ajouter des clés de confiance pour des modules ou applications spécifiques.
mokutil --import <fichier_certificat>
Supprime une clé du MOK.
mokutil --delete <clé>
Affiche les clés en attente d'ajout au MOK.
mokutil --list-new
Vérifie l'état du démarrage sécurisé (activé ou désactivé).
mokutil --sb-state
Liste les clés actuellement enregistrées dans le MOK.
mokutil --list-enrolled
Signe un fichier (par exemple, un module du noyau) avec une clé privée et un certificat. Ceci est utilisé pour valider l'intégrité du fichier lors du démarrage.
sign-file sha256 <clé_privée> <certificat> <fichier>
Vérifie la signature d'un fichier signé par sign-file ou sbsign.
sbverify <fichier_signé>
Signe une application EFI (par exemple, un chargeur de démarrage).
sbsign --key <clé_privée> --cert <certificat> <fichier_efi> --output <fichier_signé>
Installe les paquets nécessaires, y compris shim et mokutil.
apt install shim-signed mokutil
Installe les paquets liés au noyau, aux en-têtes et au chargeur de démarrage GRUB pour le démarrage sécurisé.
apt install linux-image-amd64 linux-headers-amd64 grub-efi-amd64-signed
Activer le démarrage sécurisé dans le BIOS/UEFI: Il est nécessaire d'activer le démarrage sécurisé dans les paramètres du BIOS/UEFI pour que shim fonctionne correctement. Enrôler les clés: Après l'importation de clés dans le MOK, il est souvent nécessaire de redémarrer et d'enrôler ces clés dans le processus de démarrage sécurisé.
7. Autres commandes utiles:
Affiche le contenu du répertoire EFI de Debian, où se trouvent les fichiers de démarrage.
ls /boot/efi/EFI/debian
Vérifie si un module du noyau a été signé.
modinfo <module> | grep sig
En résumé, les commandes “shim” sur Debian sont principalement utilisées pour gérer les clés de confiance, signer les fichiers critiques au démarrage, et configurer le démarrage sécurisé UEFI. Elles permettent de s'assurer que seul le code autorisé est exécuté au démarrage, renforçant la sécurité du système