Configure Secure Boot při instalaci Zorin OS: kdy zadat heslo a kdy tuto volbu neřešit - LINUX PRO DOMÁCNOST - vzdělávací HUB

Pokud instalujete Zorin OS a instalační program nabídne volbu Configure Secure Boot, zadejte jednoduché zapamatovatelné heslo a pokračujte v instalaci. Toto heslo není přihlašovací heslo do Linuxu. Může být potřeba po prvním restartu při potvrzení položky Enroll MOK na modré obrazovce MOK Manageru.

Pokud počítač Secure Boot nemá, nebo se tato volba vůbec nezobrazí, není to problém. Pokračujte v instalaci dál.

Podrobné vysvětlení najdete níže.

V kroku „Aktualizace a další software“ se může při instalaci Zorin OS zobrazit volba „Configure Secure Boot“ se zadáním hesla. Tato volba souvisí s tím, že instalátor nabízí instalaci softwaru třetích stran, například ovladačů pro grafické karty, některý Wi-Fi hardware nebo doplňkových multimediálních součástí. Pokud je v počítači zapnutý Secure Boot, systém musí zajistit, aby se po instalaci mohly načíst i ovladače nebo kernelové moduly, které nejsou součástí běžně podepsaného základu systému. K tomu se používá mechanismus zvaný MOK – Machine Owner Key. Ubuntu, ze kterého Zorin OS technicky vychází, při instalaci potřebných modulů vytvoří klíč, podepíše jím příslušné moduly a po restartu nabídne jeho potvrzení v prostředí MOK Manager.

Heslo zadané v této obrazovce není běžné uživatelské heslo do Linuxu, není to heslo k šifrování disku a neslouží ani k přihlašování do systému. Je to dočasné potvrzovací heslo, které budete potřebovat po prvním restartu počítače. Po restartu se může zobrazit modrá textová obrazovka MOK Manager. V ní je potřeba zvolit přibližně volbu Enroll MOK, potvrdit pokračování, zadat heslo z instalace a poté restartovat počítač. Teprve po tomto potvrzení se klíč uloží do důvěryhodné databáze počítače a ovladače podepsané tímto klíčem se mohou při zapnutém Secure Bootu načíst.

Tuto volbu je vhodné použít tehdy, když máte v počítači zapnutý Secure Boot a zároveň při instalaci ponecháte zaškrtnutou volbu „Nainstalovat software třetích stran pro grafické karty, Wi-Fi hardware a dodatečné formáty médií“. Typicky se to týká počítačů s grafickou kartou NVIDIA, některých Wi-Fi adaptérů nebo dalšího hardwaru, který potřebuje proprietární nebo dodatečný ovladač. Pokud chcete Secure Boot ponechat zapnutý, je lepší heslo vyplnit a následně po restartu dokončit zápis klíče v MOK Manageru.

Volbu naopak nemusíte řešit na starším počítači, který Secure Boot vůbec nemá, používá starší BIOS/Legacy režim, nebo má Secure Boot vypnutý. V takovém případě tato ochrana nebrání načítání dodatečných ovladačů a není co potvrzovat. Není to chyba ani problém. Zorin OS lze na takovém počítači normálně nainstalovat a používat. Pouze se neuplatní kontrola Secure Bootu při startu systému.

Volbu můžete vynechat také v případě, že nepoužíváte žádný hardware vyžadující proprietární ovladač a systém si vystačí s běžnými otevřenými ovladači obsaženými přímo v Linuxu. Typicky jde o mnoho počítačů s integrovanou grafikou Intel nebo AMD, kde grafika funguje ihned po instalaci bez dodatečných proprietárních ovladačů. Pokud po instalaci funguje obraz, síť i zvuk správně, začátečník se touto volbou nemusí zbytečně zabývat.

Zvláštní pozornost si zaslouží grafické karty NVIDIA. Zorin OS při startu instalačního média nabízí u moderních karet NVIDIA také volbu „Try or Install Zorin OS (modern NVIDIA drivers)“. Oficiální nápověda Zorin upozorňuje, že u moderních NVIDIA ovladačů může být někdy nutné Secure Boot vypnout, aby se ovladače plně aktivovaly.  Secure Boot totiž může na některých počítačích zabránit načtení NVIDIA ovladače. Zorin přímo uvádí, že Secure Boot může blokovat načítání NVIDIA ovladačů, a jako jedno z řešení doporučuje jeho vypnutí v nastavení BIOS/UEFI.

To ale neznamená, že NVIDIA a Secure Boot spolu nikdy nemohou fungovat. Znamená to pouze, že jde o citlivější kombinaci. Pokud instalátor nabídne konfiguraci Secure Bootu a chcete Secure Boot ponechat zapnutý, zadejte heslo a po restartu dokončete registraci MOK klíče. Pokud by se po instalaci NVIDIA ovladač nenačetl správně, obraz běžel jen v nouzovém režimu nebo systém hlásil problém s ovladačem, jedním z praktických řešení je Secure Boot v BIOS/UEFI vypnout. Zorin obecně uvádí, že Secure Boot na většině moderních počítačů funguje, ale na některých sestavách může blokovat ovladače nebo kompatibilní funkce.

U instalace na jediný interní disk s odstraněním Windows není Secure Boot povinný. Pokud počítač Secure Boot nemá, nevadí to. Pokud ho má zapnutý a instalátor nabídne Configure Secure Boot, doporučuji heslo zadat, zvlášť pokud necháváte zaškrtnutou instalaci softwaru třetích stran. Je to lepší než později řešit nefunkční Wi-Fi nebo grafický ovladač. Důležité je pouze nezapomenout, že po restartu může přijít modrá obrazovka MOK Manageru a tam je potřeba zápis klíče potvrdit.

V případě dual bootu s Windows samotný dual boot neznamená, že musíte volbu Configure Secure Boot povinně zapnout. Tato volba nesouvisí přímo s tím, jestli budete mít vedle Zorin OS také Windows. Souvisí hlavně s tím, zda je v počítači zapnutý Secure Boot a zda instalujete ovladače nebo moduly třetích stran. Pokud tedy instalujete Zorin OS vedle Windows, Secure Boot je zapnutý a zároveň chcete instalovat třetí strany, je vhodné heslo vyplnit a MOK klíč po restartu potvrdit.

U dual bootu je potřeba být opatrnější s vypínáním Secure Bootu, protože nastavení Secure Bootu je společné pro celý počítač, ne pouze pro Linux. Pokud ve Windows používáte BitLocker nebo šifrování zařízení, změny v oblasti startu systému, zabezpečení nebo firmwaru mohou způsobit výzvu k zadání obnovovacího klíče BitLockeru. Microsoft uvádí, že BitLocker může při startu požadovat obnovovací klíč například kvůli bezpečnostnímu riziku nebo hardwarové změně.  Proto je u dual bootu rozumné mít před změnami v BIOS/UEFI uložený obnovovací klíč BitLockeru, pokud je šifrování ve Windows zapnuté.

Secure Boot je bezpečnostní funkce moderního firmwaru UEFI. Jejím úkolem je kontrolovat, zda se při startu počítače spouští důvěryhodný zavaděč a další důležité části systému. Cílem je omezit spuštění škodlivého nebo neautorizovaného kódu ještě před načtením operačního systému.

Pro běžného uživatele je důležité hlavně toto:

Na většině běžných počítačů může Zorin OS se Secure Bootem fungovat normálně. Problém může nastat hlavně u některých proprietárních ovladačů, typicky u NVIDIA grafiky nebo specifického hardwaru, který potřebuje dodatečný kernelový modul. Zorin ve své nápovědě výslovně uvádí, že Secure Boot může na některých počítačích blokovat ovladače nebo kompatibilní funkce.

MOK znamená Machine Owner Key. Zjednodušeně řečeno jde o klíč, kterým si vlastník počítače může povolit načítání vybraných modulů i při zapnutém Secure Bootu.

Při instalaci některých ovladačů třetích stran může systém vytvořit vlastní klíč, kterým podepíše potřebné moduly. Aby jim Secure Boot při startu počítače důvěřoval, je potřeba tento klíč jednorázově potvrdit. K tomu slouží obrazovka MOK Manager, která se může objevit po prvním restartu.

Heslo, které zadáte při volbě Configure Secure Boot, slouží právě k potvrzení této změny. Ubuntu dokumentace popisuje, že po restartu MOK Manager umožní zapsat vygenerovaný MOK klíč a po dalším restartu se ovladače podepsané tímto klíčem mohou načíst.  Starší dokumentace Ubuntu zároveň uvádí, že heslo používané pro potvrzení v MOK Manageru slouží k ověření, že změnu potvrzuje uživatel u počítače, a po dokončení nebo zrušení procesu se vymaže.

Po dokončení instalace a restartu se může zobrazit modrá textová obrazovka MOK Manager. Začátečník by se jí neměl lekat. Nejde o chybu instalace.

Obvykle je potřeba postupovat přibližně takto:

Přesné názvy položek se mohou mírně lišit podle verze systému, ale princip je stejný: potvrdit zapsání klíče, aby se mohly načítat potřebné ovladače nebo moduly.

Pokud se obrazovka MOK Manageru neobjeví, nemusí to automaticky znamenat problém. Může to znamenat, že Secure Boot nebyl aktivní, nebylo potřeba nic zapisovat, nebo systém nepotřeboval žádný dodatečný podepisovaný modul.

Pokud instalujete Zorin OS na jediný disk a Windows budete mazat, není potřeba Secure Boot dopředu složitě řešit. Ponechte zaškrtnutou volbu pro instalaci softwaru třetích stran. Pokud se objeví Configure Secure Boot, zadejte jednoduché zapamatovatelné heslo, po restartu potvrďte Enroll MOK a nechte instalaci doběhnout. Pokud počítač Secure Boot nemá, nebo je vypnutý, není to problém a instalace může normálně pokračovat bez této části.

Pro běžný počítač bez NVIDIA grafiky většinou tato volba nebude zásadní. Pro počítač s NVIDIA grafikou, některými Wi-Fi adaptéry nebo při zapnutém Secure Bootu je naopak lepší ji nepřeskakovat. Pokud se později ukáže, že ovladač kvůli Secure Bootu stejně nefunguje správně, lze Secure Boot v BIOS/UEFI vypnout a problém tím často odstranit. U dual bootu s Windows je ale před takovou změnou vhodné ověřit, zda Windows nepoužívá BitLocker.

Volba Configure Secure Boot není samostatná instalace dalšího zabezpečení a není to ani běžné heslo do systému. Je to pomocný krok, který umožňuje při zapnutém Secure Bootu potvrdit klíč pro načítání některých ovladačů nebo modulů třetích stran.

Pokud instalujete Zorin OS na běžný počítač a tato volba se zobrazí, je rozumné heslo zadat a po restartu potvrdit zápis klíče. Pokud počítač Secure Boot nemá, není to problém. Pokud používáte grafickou kartu NVIDIA nebo specifický Wi-Fi adaptér, může být tato volba důležitější. U dual bootu s Windows je potřeba myslet hlavně na BitLocker a mít uložený obnovovací klíč, pokud je šifrování ve Windows zapnuté.

Podrobnější informace o tom, jak funguje Secure Boot, najdete v článku:

Co je to BIOS/UEFI, rozdíly a proč o tom píšu? – odstavec „Secure Boot lidsky“.

Pokud se po restartu zobrazí obrazovka MOK Manageru a nejste si jisti, co zvolit, nebo jste zadali špatné heslo, bude vhodné použít samostatný návod: