Có vô số biện pháp bảo mật được tích hợp sẵn trong phần mềm của mainboard máy tính, giúp bảo vệ toàn bộ hệ thống của bạn khỏi các mối đe dọa. Một trong những tính năng đó là Secure Boot, và nó có thể chứng tỏ giá trị hoặc gây rắc rối tùy thuộc vào thiết bị và cách bạn sử dụng nó. Đáng tiếc, Secure Boot đôi khi cản trở việc cài đặt một số phần mềm nhất định trên hệ thống và thường gây phiền phức khi không được mong muốn. Đó là lý do tại sao tôi luôn vô hiệu hóa nó trên tất cả các hệ thống của mình.
Secure Boot là gì?
Tính năng bảo mật tuyệt vời… cho người dùng ít am hiểu công nghệ
Secure Boot được thiết kế để bổ sung thêm một lớp bảo vệ cho máy tính của bạn, chỉ cho phép phần mềm và thành phần được ký số (digitally signed) và đáng tin cậy khởi chạy sau giai đoạn khởi động (boot stage). Điều này ngăn chặn bất kỳ phần mềm độc hại hoặc trái phép nào thực hiện thay đổi đối với hệ thống, một tính năng rất hữu ích khi mà máy tính cá nhân đã phải đối phó với virus và các phần mềm độc hại khác trong nhiều thập kỷ. Mặc dù hầu hết phần mềm độc hại sẽ lây nhiễm hệ điều hành từ các nguồn khác thông qua Internet, nhưng vẫn có khả năng máy tính của bạn bị nhiễm trùng ngay tại giai đoạn khởi động.
Với Secure Boot được bật, mainboard sẽ kiểm tra một chữ ký được mã hóa trong chương trình EFI khi nó được thực thi. Nếu chữ ký này không tồn tại, không khớp hoặc nằm trong danh sách đen, chương trình sẽ không chạy. Trình khởi động EFI (EFI bootloader) phải tiếp tục khởi động theo “cách an toàn”, và hệ điều hành cần phải an toàn một cách nội tại để toàn bộ quá trình hoàn tất. Tính năng này lần đầu tiên được giới thiệu trên các máy tính chạy Windows 8 vào năm 2012 và đã gây ra nhiều vấn đề với các hệ điều hành khác, đặc biệt là các bản phân phối Linux. Kể từ đó, một số bản phân phối đã tích hợp hỗ trợ Secure Boot.
Hiện tại, bạn có thể khởi động, cài đặt và chạy Ubuntu với Secure Boot được bật trong UEFI BIOS, mặc dù các bản phân phối Linux khác sẽ gặp sự cố ngay cả khi khởi động vào môi trường Live, chẳng hạn như Arch Linux. Ngoài ra, còn có các trình điều khiển (drivers) và phần mềm không được ký số khác có thể không chạy được khi Secure Boot được bật. Tính năng này hữu ích trong việc giúp bảo mật một hệ thống có thể bị nhiễm trùng ở cấp độ thấp, điều này có thể gây ra thiệt hại không thể phục hồi, nhưng Secure Boot cũng có thể là một trở ngại thực sự khi bạn muốn thực hiện điều gì đó không được Microsoft hoặc một trong các đối tác của họ ký.
Hầu hết các tệp nhị phân (binaries) được Ubuntu tải đều được ký bởi chứng chỉ UEFI của Canonical, vốn được tin cậy ngầm bằng cách nhúng vào trình tải shim, sau đó được Microsoft ký. Một tệp nhị phân shim được Microsoft ký và một tệp nhị phân grub được Canonical ký đều được cung cấp trong kho lưu trữ chính của Ubuntu. Nhưng ngay cả khi Secure Boot được bật, bạn vẫn có thể gặp vấn đề với mã độc ở các phần khác của hệ điều hành.
Lý do tôi luôn Tắt Secure Boot
Đơn giản là nó gây cản trở trải nghiệm
Tôi không coi Secure Boot như một âm mưu xấu xa của Microsoft nhằm duy trì quyền kiểm soát tối đa đối với thị trường PC. Nó giống một tính năng bảo mật có thể gây rắc rối hơn là hữu ích, đặc biệt trên một hệ thống mà người dùng có đủ kiến thức công nghệ để cài đặt và chạy một hệ điều hành không phải là phiên bản Windows nào đó. Giống như phần mềm chống virus, nó phù hợp hơn với những người không đáng tin cậy trong việc truy cập các trang web đáng ngờ hoặc tải xuống và cài đặt phần mềm từ các nguồn không đáng tin cậy. Tôi tin rằng Secure Boot là một ý tưởng tuyệt vời, chỉ là việc thực thi còn kém.
Kiểm tra trạng thái Secure Boot trên Arch Linux qua dòng lệnh mokutil cho thấy tính năng đã tắt
Tôi thường xuyên chuyển đổi giữa các bản phân phối Linux trên máy tính chính của mình, và việc bật Secure Boot sẽ khiến việc này trở nên khó khăn hơn, đơn giản vì tôi sẽ phải đảm bảo mọi thứ đều được ký số trước khi tiến hành quá trình cài đặt. Ngay cả sau đó, bất kỳ phần mềm nào tôi muốn cài đặt trên bản phân phối đó cũng sẽ phải được ký. Tôi có thể tự thực hiện điều này và làm cho mọi thứ hoạt động, nhưng nó tốn quá nhiều thời gian và không phải là điều tôi đặc biệt muốn làm. Tôi rất mong chúng ta đạt đến một thời điểm mà Secure Boot hữu ích hơn mà không cản trở mọi thứ.
Bạn có nên tắt Secure Boot không? Điều đó phụ thuộc vào mục đích sử dụng hệ thống và hệ điều hành bạn định cài đặt. Nếu bạn đang chạy Windows hoặc hệ điều hành đi kèm với phần cứng của mình, tôi khuyên bạn nên để Secure Boot bật. Nếu một bản phân phối Linux bạn định sử dụng hỗ trợ Secure Boot, hãy để nó bật. Đối với mọi trường hợp khác, bạn có thể cân nhắc tắt Secure Boot để có thêm quyền tự do trong việc chạy những gì bạn muốn trên PC. Chỉ cần nhớ rằng Secure Boot là một bổ sung hữu ích cho kho vũ khí bảo mật của mainboard và có thể bảo vệ hệ thống cấp thấp của bạn khỏi bị nhiễm trùng.
Kết luận:
Secure Boot đóng vai trò quan trọng trong việc tăng cường bảo mật máy tính bằng cách ngăn chặn phần mềm độc hại khởi chạy từ giai đoạn boot. Tuy nhiên, tính năng này có thể trở thành rào cản đối với những người dùng có kinh nghiệm, đặc biệt là khi họ muốn cài đặt nhiều hệ điều hành (như các bản phân phối Linux không được ký số) hoặc các ứng dụng không chính thống. Quyết định bật hay tắt Secure Boot phụ thuộc vào nhu cầu và mức độ hiểu biết công nghệ của mỗi người. Hãy cân nhắc kỹ lưỡng để đảm bảo an toàn cho hệ thống mà vẫn giữ được sự linh hoạt cần thiết.
Bạn có kinh nghiệm nào với Secure Boot không? Hãy chia sẻ ý kiến hoặc những mẹo hữu ích của bạn trong phần bình luận bên dưới nhé!
