최신 PC에는 “보안 부팅”기능이 활성화되어 있습니다. 이것은 기존 PC BIOS를 대체하는 UEFI의 플랫폼 기능입니다. PC 제조업체가 “Windows 10″또는 “Windows 8″로고 스티커를 PC에 배치하려면 보안 부팅을 활성화하고 몇 가지 지침을 따르십시오.
불행히도 일부 Linux 배포판을 설치하지 못하게되어 번거로울 수 있습니다.
보안 부팅으로 PC 부팅 프로세스를 보호하는 방법
보안 부팅은 Linux 실행을 더욱 어렵게 만들기위한 것이 아닙니다. 보안 부팅을 활성화하면 실질적인 보안 이점이 있으며 Linux 사용자도 혜택을 누릴 수 있습니다.
기존 BIOS는 모든 소프트웨어를 부팅합니다. PC를 부팅하면 구성한 부팅 순서에 따라 하드웨어 장치를 확인한 후 부팅을 시도합니다. 일반적인 PC는 일반적으로 전체 Windows 운영 체제를 부팅하는 Windows 부팅 로더를 찾아 부팅합니다. Linux를 사용하는 경우 BIOS는 대부분의 Linux 배포에서 사용하는 GRUB 부트 로더를 찾아서 부팅합니다.
그러나 루트킷과 같은 맬웨어가 부트 로더를 교체 할 수 있습니다. 루트킷은 시스템에 전혀 보이지 않고 감지 할 수없는 상태로 문제가없는 정상적인 운영 체제를로드 할 수 있습니다. BIOS는 맬웨어와 신뢰할 수있는 부트 로더의 차이점을 알지 못합니다. 발견 된 모든 것을 부팅합니다.
보안 부팅은이를 중지하도록 설계되었습니다. Windows 8 및 10 PC에는 UEFI에 저장된 Microsoft 인증서가 제공됩니다. UEFI는 부팅 로더를 시작하기 전에 확인하고 Microsoft가 서명했는지 확인합니다. 루트킷 또는 다른 맬웨어가 부트 로더를 대체하거나 변조하면 UEFI는 부팅을 허용하지 않습니다. 이렇게하면 맬웨어가 부팅 프로세스를 가로 채어 운영 체제에서 자신을 숨길 수 없습니다.
Microsoft에서 Linux 배포를 보안 부팅으로 부팅하는 방법
이론적으로이 기능은 맬웨어로부터 보호하도록 설계되었습니다. 따라서 Microsoft는 Linux 배포판을 부팅 할 수있는 방법을 제공합니다. 그렇기 때문에 Ubuntu 및 Fedora와 같은 일부 최신 Linux 배포판은 보안 부팅이 활성화 된 경우에도 최신 PC에서 “작동”할 수 있습니다. Linux 배포판은 Microsoft Sysdev 포털에 액세스하기 위해 일회성 수수료 99 달러를 지불 할 수 있으며, 여기서 부트 로더에 서명하도록 신청할 수 있습니다.
Linux 배포판에는 일반적으로 “shim”서명이 있습니다. shim은 Linux 배포판 주 GRUB 부트 로더를 간단히 부팅하는 소형 부트 로더입니다. Microsoft에서 서명 한 shim은 Linux 배포에서 서명 한 부트 로더를 부팅하고 Linux 배포가 정상적으로 부팅되는지 확인합니다.
Ubuntu, Fedora, Red Hat Enterprise Linux 및 openSUSE는 현재 보안 부팅을 지원하며 최신 하드웨어를 조정하지 않고도 작동합니다. 다른 사람들도있을 수 있지만 우리가 알고있는 것들입니다. 일부 Linux 배포판은 철학적으로 Microsoft의 서명 신청에 반대합니다.
보안 부팅 비활성화 또는 제어 방법
이것이 모두 보안 부팅 인 경우 PC에서 Microsoft가 승인하지 않은 운영 체제를 실행할 수 없습니다. 그러나 PC의 UEFI 펌웨어 (이전 PC의 BIOS와 동일)에서 보안 부팅을 제어 할 수 있습니다.
보안 부팅을 제어하는 방법에는 두 가지가 있습니다. 가장 쉬운 방법은 UEFI 펌웨어로 가서 완전히 비활성화하는 것입니다. UEFI 펌웨어는 서명 된 부트 로더를 실행하고 있는지 확인하지 않으며, 무엇이든 부팅됩니다. Linux 배포를 부팅하거나 보안 부팅을 지원하지 않는 Windows 7을 설치할 수도 있습니다. Windows 8 및 10이 제대로 작동하면 보안 부팅으로 부팅 프로세스를 보호하는 보안상의 이점을 잃게됩니다.
보안 부팅을 추가로 사용자 정의 할 수도 있습니다. Secure Boot가 제공하는 서명 인증서를 제어 할 수 있습니다. 새 인증서를 설치하고 기존 인증서를 모두 제거 할 수 있습니다. 예를 들어, PC에서 Linux를 실행 한 조직은 Microsoft 인증서를 제거하고 대신 자체 인증서를 설치하도록 선택할 수 있습니다. 그런 다음 해당 PC는 해당 특정 조직에서 승인하고 서명 한 부트 로더 만 부팅합니다.
개인도이 작업을 수행 할 수 있습니다. 자신 만의 Linux 부트 로더에 서명하고 PC가 개인적으로 컴파일하고 서명 한 부트 로더 만 부팅 할 수 있도록 할 수 있습니다. 이것이 바로 일종의 제어 및 강력한 보안 부팅 기능입니다.
PC 제조업체에 필요한 Microsoft
Microsoft는 PC 공급 업체가 PC에서 멋진 “Windows 10″또는 “Windows 8″인증 스티커를 원할 경우 보안 부팅을 활성화하도록 요구하지 않습니다. Microsoft는 PC 제조업체가 특정 방식으로 구현하도록 요구합니다.
Windows 8 PC의 경우 제조업체는 보안 부팅을 해제 할 수있는 방법을 제공해야합니다. Microsoft는 PC 제조업체에 보안 부팅 킬 스위치를 사용자의 손에 넣어야했습니다.
Windows 10 PC의 경우 더 이상 필수가 아닙니다. PC 제조업체는 보안 부팅을 활성화하도록 선택할 수 있으며 사용자가이를 끌 수있는 방법을 제공하지 않습니다. 그러나 실제로는이를 수행하는 PC 제조업체는 알 수 없습니다.
마찬가지로 PC 제조업체는 Windows를 부팅 할 수 있도록 Microsoft의 기본 “Microsoft Windows Production PCA”키를 포함해야하지만 “Microsoft Corporation UEFI CA”키는 포함하지 않아도됩니다. 이 두 번째 키만 권장됩니다. Microsoft가 Linux 부트 로더에 서명하는 데 사용하는 두 번째 옵션 키입니다. 우분투의 문서는 이것을 설명합니다.
다시 말해, 모든 PC가 반드시 Secure Boot가 켜진 상태에서 서명 된 Linux 배포를 부팅하지는 않습니다. 다시, 실제로, 우리는 이것을 한 PC를 보지 못했습니다. Linux를 설치할 수없는 유일한 랩톱 제품군을 만들고자하는 PC 제조업체는 없을 것입니다.
현재로서는 주류 Windows PC에서는 원하는 경우 보안 부팅을 비활성화 할 수 있어야하며 보안 부팅을 비활성화하지 않더라도 Microsoft에서 서명 한 Linux 배포를 부팅해야합니다.
Windows RT에서 보안 부팅을 비활성화 할 수 없지만 Windows RT가 종료되었습니다
관련 : Windows RT 란 무엇이며 Windows 8과 어떻게 다릅니 까?
위의 모든 내용은 표준 Intel x86 하드웨어의 표준 Windows 8 및 10 운영 체제에 해당됩니다. ARM과 다릅니다.
다른 장치 중에서도 Microsoft Surface RT 및 Surface 2에 제공된 ARM 하드웨어 용 Windows 8 버전 인 Windows RT에서 보안 부팅을 비활성화 할 수 없습니다. 현재 Windows 10 Mobile 하드웨어, 즉 Windows 10을 실행하는 전화기에서는 보안 부팅을 비활성화 할 수 없습니다.
Microsoft는 ARM 기반 Windows RT 시스템을 PC가 아닌“장치”로 생각하기를 원했기 때문입니다. Microsoft가 Mozilla에게 말한 것처럼 Windows RT는 “더 이상 Windows가 아닙니다.”
그러나 이제 Windows RT가 종료되었습니다. ARM 하드웨어 용 Windows 10 데스크톱 운영 체제 버전이 없으므로 더 이상 걱정할 필요가 없습니다. 그러나 Microsoft가 Windows RT 10 하드웨어를 다시 가져 오면 보안 부팅을 비활성화 할 수 없습니다.
이미지 제공 : B 존 브리스 토웨 대사
