Secure Boot uitschakelen voor Linux?
Je hoeft UEFI Secure Boot niet uit te schakelen bij de BIOS-instellingen om Linux-distributies als Ubuntu, Fedora en Linux Mint te installeren. Dat is te danken aan een handtekening van Microsoft voor de bootloader 'shim', waardoor de gebruikelijke UEFI-BIOS-systemen die en veel andere Linux-distributies als betrouwbaar herkennen en zonder te mopperen starten. Bij Debian GNU/Linux ligt dat anders, dat krijgt een dergelijke handtekening pas in 2019 met versie 10, dus moet je Secure Boot nog uitschakelen als je de huidige wilt installeren. Ook bij het installeren van Arch Linux en afgeleiden als Antergos en Manjaro ligt die beveiliging dwars, want zij ondersteunen Secure Boot niet of slechts summier. Deactiveren is echter ook bij Fedora, Ubuntu en dergelijke nodig als je bijvoorbeeld een zelf gecompileerde kernel wilt gebruiken en hetzelfde geldt als je het eigen grafische stuurprogramma van nVidia wilt installeren. De bootloader en de kernel van veel distributies die met Secure Boot werken, verbieden die en een paar andere dingen zolang Secure Boot actief is. Aan de ene kant zorgt dat ervoor dat kwaadwillenden die onderdelen niet voor hun eigen doeleinden kunnen misbruiken, want daardoor kan de opstartcode van de distributies op een zwarte lijst terechtkomen. Aan de andere kant biedt het bescherming tegen bepaalde aanvalsscenario’s, al is het de vraag of dat opweegt tegen de nadelen. De uiteindelijke vuistregel is: laat Secure Boot gewoon actief, zeker zolang het je niet in de weg zit. Mocht dat vroeg of laat toch een keer gebeuren, schakel het dan uit en maak je verder geen zorgen over de mindere beveiliging. Helaas verbergen sommige BIOS-instellingen de opties voor het uitschakelen van Secure Boot en bij sommige versies ontbreken ze zelfs geheel. Bij distributies die zijn ontworpen met het oog op beveiliging, kun je vanuit de distributie een proces starten dat de beperkingen van Secure Boot bij de volgende opstart uitschakelt [3]. Secure Boot zelf blijft echter wel actief, dus dan starten distributies zonder ondersteuning voor deze technologie ook niet.