Trên các bo mạch chủ hiện đại, vô số biện pháp bảo mật được tích hợp sâu vào phần mềm nhằm giữ an toàn cho toàn bộ hệ thống PC của bạn. Một trong những tính năng đó là Secure Boot – Khởi động An toàn. Tính năng này có thể cực kỳ hữu ích hoặc trở thành một rắc rối không nhỏ, tùy thuộc vào mục đích sử dụng thiết bị của bạn. Đôi khi, Secure Boot gây cản trở việc cài đặt một số phần mềm nhất định trên hệ thống và thường xuyên can thiệp vào những nơi không mong muốn. Đó chính là lý do vì sao tôi luôn tắt nó trên tất cả các máy tính của mình.
Secure Boot là gì?
Tính năng bảo mật tuyệt vời… dành cho người dùng phổ thông
Secure Boot được thiết kế để bổ sung một lớp bảo vệ nữa cho máy tính của bạn, chỉ cho phép các phần mềm và thành phần được ký số và đáng tin cậy khởi chạy thành công sau giai đoạn khởi động. Điều này ngăn chặn bất kỳ phần mềm độc hại hoặc không được ủy quyền nào thực hiện thay đổi trên hệ thống. Đây là một cơ chế hữu ích vì các máy tính cá nhân đã phải “chiến đấu” với virus và các phần mềm độc hại khác trong nhiều thập kỷ. Mặc dù hầu hết phần mềm độc hại sẽ lây nhiễm vào hệ điều hành từ các nguồn khác qua Internet, nhưng vẫn có khả năng PC của bạn bị lây nhiễm ngay tại giai đoạn khởi động.
Khi Secure Boot được bật, bo mạch chủ sẽ kiểm tra một chữ ký đã được mã hóa trong chương trình EFI khi nó được thực thi. Nếu chữ ký này không có, không khớp hoặc bị đưa vào danh sách đen, chương trình sẽ không chạy. Trình khởi động EFI (EFI bootloader) phải tiếp tục khởi động theo cách “an toàn”, và hệ điều hành cần phải an toàn một cách tự thân để toàn bộ quá trình hoàn tất. Tính năng này lần đầu tiên được giới thiệu trên các máy tính chạy Windows 8 vào năm 2012 và đã gây ra nhiều vấn đề với các hệ điều hành khác, đặc biệt là các bản phân phối Linux (Linux distros). Kể từ đó, một số bản phân phối đã làm việc để hỗ trợ Secure Boot.
Hiện nay, bạn có thể khởi động, cài đặt và chạy Ubuntu với Secure Boot được bật trong UEFI BIOS, mặc dù các bản phân phối khác vẫn sẽ gặp sự cố ngay cả khi khởi động vào môi trường Live, chẳng hạn như Arch Linux. Ngoài ra, còn có các driver và phần mềm không được ký số khác có thể không chạy khi Secure Boot được bật. Tính năng này rất tiện lợi trong việc giúp bảo mật một hệ thống có thể bị lây nhiễm ở cấp độ thấp, điều này có thể gây ra thiệt hại không thể đảo ngược. Tuy nhiên, Secure Boot cũng có thể là một vấn đề thực sự khó chịu khi bạn muốn thực hiện điều gì đó không được ký bởi Microsoft hoặc một trong các đối tác của họ.
Hầu hết các tệp nhị phân được tải bởi Ubuntu đều được ký bằng chứng chỉ UEFI của Canonical, chứng chỉ này được tin cậy một cách ngầm định thông qua việc được nhúng vào shim loader, sau đó được ký bởi Microsoft. Một tệp nhị phân shim được ký bởi Microsoft và một tệp nhị phân grub được ký bởi Canonical đều có sẵn trong kho lưu trữ chính của Ubuntu. Nhưng ngay cả khi Secure Boot được bật, bạn vẫn có thể gặp vấn đề với mã độc hại ở những nơi khác trong hệ điều hành.
Vì sao tôi luôn tắt Secure Boot trên các hệ thống của mình?
Đơn giản vì nó thường gây cản trở
Kiểm tra trạng thái Secure Boot trên Linux bằng mokutil CLI
Tôi không coi Secure Boot là một âm mưu xấu xa của Microsoft nhằm duy trì quyền kiểm soát tối đa đối với thị trường PC. Nó giống như một tính năng bảo mật có thể gây rắc rối nhiều hơn là hữu ích, đặc biệt trên một hệ thống mà người dùng có đủ kiến thức công nghệ để cài đặt và chạy một hệ điều hành không phải là phiên bản Windows nào đó. Giống như phần mềm diệt virus, nó phù hợp hơn cho những người không thể tin tưởng rằng họ sẽ không truy cập các trang web độc hại hoặc tải xuống và cài đặt phần mềm từ các nguồn không đáng tin cậy. Tôi tin rằng Secure Boot là một ý tưởng tuyệt vời, nhưng lại được thực thi chưa thực sự tốt.
Tôi thường xuyên chuyển đổi giữa các bản phân phối Linux trên dàn máy chính của mình, và việc bật Secure Boot sẽ khiến quá trình này trở nên phiền phức hơn, đơn giản vì tôi sẽ phải đảm bảo mọi thứ được ký số trước khi tiến hành cài đặt. Và ngay cả sau đó, bất kỳ phần mềm nào tôi muốn cài đặt thêm vào bản phân phối cũng sẽ phải được ký số. Tôi có thể thực hiện việc này thủ công và làm cho mọi thứ hoạt động, nhưng nó tốn quá nhiều thời gian và không phải là điều tôi đặc biệt muốn làm. Tôi rất mong chúng ta đạt đến một thời điểm mà Secure Boot hữu ích hơn mà không gây cản trở mọi thứ.
Bạn có nên tắt Secure Boot không? Điều đó phụ thuộc vào mục đích bạn sử dụng hệ thống và hệ điều hành bạn định cài đặt. Nếu bạn đang chạy Windows hoặc hệ điều hành đi kèm với phần cứng của mình, tôi khuyên bạn nên để nó bật. Nếu một bản phân phối Linux mà bạn định sử dụng hỗ trợ Secure Boot, hãy để nó bật. Đối với mọi trường hợp khác, việc tắt Secure Boot có thể đáng cân nhắc để mang lại cho bạn nhiều tự do hơn trong việc chạy những gì trên PC. Chỉ cần nhớ rằng Secure Boot là một bổ sung hữu ích vào kho vũ khí bảo mật của bo mạch chủ và có thể bảo vệ các hệ thống cấp thấp của bạn khỏi bị lây nhiễm.
