22.2. 安全引导撤销列表
UEFI 安全引导撤销列表或安全引导禁止签名数据库(dbx
)是一个列表,其识别安全引导不再允许运行的软件。
当在与安全引导(Secure Boot)接口的软件中发现安全问题或稳定性问题时,比如在 GRUB 引导装载程序中,撤销列表会存储其哈希签名。带有此类可识别签名的软件在引导过程中无法运行,系统引导无法防止损害系统。
例如,一个特定版本的 GRUB 可能会包含允许攻击者绕过安全引导机制的安全问题。当找到问题时,撤销列表会添加包含这个问题的所有 GRUB 版本的哈希签名。因此,只有安全的 GRUB 版本才可以在系统上引导。
撤销列表需要常规更新以识别新发现的问题。更新撤销列表时,请确保使用一个安全更新方法,它不会导致当前安装的系统不再引导。