Чому мене попросили створити пароль, щоб відключити безпечне завантаження при початковій установці Ubuntu 16.04?

Під час первинної установки Ubuntu 16.04 я відмітив "Встановити стороннє програмне забезпечення", і під ним мені було запропоновано перевірити інший варіант, який дозволить пакету ОС автоматично відключити захищене завантаження самостійно, необхідною умовою якого було: створення пароля, який якимось чином дозволив би пройти весь цей процес.

Після продовження інсталяції мені ніколи не давали жодних вказівок, що це відключення захищеного завантаження не відбулося, і мені ніколи не запропонували ввести створений мною пароль.

Після успішної установки ОС я перезапустив комп’ютер і перевірив BIOS. У BIOS захищене завантаження все ще було включено. Однак, повернувшись до Ubuntu, я в змозі безперешкодно відтворювати MP3 та Flash файли, що, напевно, свідчить про те, що установка стороннього програмного забезпечення була успішною.

Я досі не стикався з жодними проблемами (крім того, що інтерфейс користувача часом був трохи вибагливий і баггі), але я хотів би знати, що на Землі я насправді досяг, створивши цей пароль.

Що сталося з паролем, який я створив? Чи потрібно мені запам'ятати це з якоїсь причини? Це не те саме, що мій пароль для входу / судо.

Чи Ubuntu постійно редагував мій BIOS, щоб зробити виняток для себе? Якщо так, то як я можу переглянути ці зміни та потенційно їх скасувати? Це там, де пароль увійде?

Чому Ubuntu потрібно взагалі відключити / обійти захищений завантажувач, щоб встановити пакунок ubuntu з обмеженими можливостями? Моє встановлення добре? Я налаштував себе на майбутні проблеми? Чи варто спробувати перевстановити захищене завантаження вручну відключеним, щоб не отримувати сповіщення в першу чергу?

Додаткова інформація: Я запускаю систему UEFI, і я з двома завантаженнями Ubuntu 16.04 поряд з Windows 10.

Інший користувач задав тут питання щодо подібної проблеми. На відміну від цього користувача, я не отримую попередження про "завантаження в незахищеному режимі", але я також хотів би знати, чи створив Ubuntu для себе виняток і як я міг керувати такими винятками. На відміну від себе, цей користувач нічого не згадував про необхідність створення пароля.

UEFI Secure Boot захищає ваш завантажувач від посягань, використовуючи комбінацію ключів CA та підписів у файлах завантаження. Наприклад, Microsoft підписала завантажувачі, для яких ключі CA вже є у вбудованій програмі UEFI більшості ПК.

Це лише захищає дуже раннє ядро ​​навантажувача і нічого після цього. Наприклад, initrd (initramfs) не захищений, або що-небудь після (GRUB, ядро, модулі, драйвери, що-небудь у просторі користувачів тощо).

Програмне забезпечення третьої сторони, яке ви встановили МОЖЕ, включило певний низькорівневий код PCI або RAID, необхідний для завантажувача, саме тому вам потрібно створити пароль, який створить ключ у просторі прошивки UEFI. Після модифікацій, якщо система помітить щось інше під час завантаження, BIOS зупиниться на POST і запитає той самий пароль, який ви ввели під час встановлення, щоб довести, що саме ви встановили програмне забезпечення. Цей метод гарантує, що користувач, який фізично сидить за комп’ютером, вводить цей пароль як підтвердження, оскільки жодне програмне забезпечення не може завантажуватися в BIOS POST час, щоб підробити це.

У більшості систем користувача захищене завантаження мало захищає вас. Це не заважає вірусам чи зловмисним програмам або встановленню цих програм. Все, що це робиться, запобігає підробці завантажувача низького рівня, що зазвичай запобігає основним антивірусом або безпекою ОС. На мою думку, і згідно з більшістю документації там, її можна безпечно відключити.