Mengapa saya diminta membuat kata sandi untuk menonaktifkan boot aman pada instalasi awal Ubuntu 16.04?

Pada instalasi awal Ubuntu 16.04, saya mencentang "Instal perangkat lunak pihak ketiga" dan, di bawahnya, saya diminta untuk mencentang opsi lain yang akan memungkinkan paket OS untuk secara otomatis menonaktifkan boot aman sendiri, prasyarat di antaranya adalah membuat kata sandi yang entah bagaimana memungkinkan seluruh proses ini terjadi.

Setelah melanjutkan instalasi, saya tidak pernah diberi indikasi bahwa penonaktifan boot aman ini telah terjadi, dan saya tidak pernah diminta memasukkan kata sandi yang saya buat.

Setelah instalasi OS berhasil, saya me-restart komputer saya dan memeriksa BIOS. Di BIOS, boot aman masih diaktifkan. Namun, kembali di Ubuntu, saya dapat memutar file MP3 dan Flash dengan lancar, yang saya asumsikan menunjukkan bahwa pemasangan perangkat lunak pihak ketiga berhasil.

Saya belum mengalami masalah apa pun (selain fakta bahwa UI terkadang agak rewel dan bermasalah), tetapi saya ingin tahu apa yang sebenarnya saya capai dengan membuat kata sandi itu.

Apa yang terjadi pada kata sandi yang saya buat? Apakah saya perlu mengingatnya untuk alasan apa pun? Ini tidak sama dengan kata sandi login / sudo saya.

Sudahkah Ubuntu mengedit BIOS saya secara permanen untuk membuat pengecualian untuk dirinya sendiri? Jika demikian, bagaimana saya bisa melihat perubahan ini dan berpotensi membatalkannya? Apakah itu tempat kata sandi masuk?

Mengapa Ubuntu perlu menonaktifkan / mem-bypass boot aman untuk menginstal paket tambahan ubuntu-dibatasi? Apakah instalasi saya baik-baik saja? Sudahkah saya menyiapkan diri untuk masalah di masa depan? Haruskah saya mencoba menginstal ulang dengan boot aman yang dinonaktifkan secara manual karena tidak menerima prompt itu sejak awal?

Informasi tambahan: Saya menjalankan sistem UEFI, dan saya dual-boot Ubuntu 16,04 bersama Windows 10.

Pengguna lain telah mengajukan pertanyaan tentang masalah serupa di sini. Tidak seperti pengguna ini, saya tidak menerima peringatan tentang "booting dalam mode tidak aman," tetapi saya juga ingin tahu apakah Ubuntu telah membuat pengecualian untuk dirinya sendiri dan bagaimana saya bisa mengelola pengecualian seperti itu. Tidak seperti saya, pengguna ini tidak menyebutkan apa pun tentang keharusan membuat kata sandi.

UEFI Secure Boot melindungi boot loader Anda dari gangguan dengan menggunakan kombinasi kunci CA dan tanda tangan dalam file boot. Microsoft misalnya telah menandatangani boot loader yang kunci CA-nya sudah ada dalam firmware UEFI di sebagian besar PC.

Ini hanya melindungi inti loader yang paling awal dan tidak ada yang sesudahnya. Misalnya initrd (initramfs) tidak dilindungi, atau apa pun setelahnya (GRUB, kernel, Modul, Driver, apa pun di userspace, dll).

Perangkat lunak pihak ke-3 yang Anda instal MUNGKIN sudah termasuk kode PCI atau RAID tingkat rendah tertentu yang diperlukan untuk boot loader, itulah sebabnya Anda perlu membuat kata sandi, yang akan membuat kunci di ruang firmware UEFI. Setelah modifikasi, jika sistem memperhatikan sesuatu yang berbeda pada saat boot, BIOS akan berhenti pada POST dan meminta kata sandi yang sama yang Anda masukkan selama instalasi untuk membuktikan bahwa Anda adalah orang yang menginstal perangkat lunak. Metode ini memastikan bahwa pengguna yang secara fisik duduk di komputer memasukkan kata sandi ini sebagai konfirmasi karena tidak ada perangkat lunak yang dapat dimuat pada waktu BIOS POST untuk memalsukan ini.

Untuk sebagian besar sistem pengguna, boot aman tidak banyak melindungi Anda. Itu tidak mencegah virus atau malware, atau pemasangan itu. Semua itu mencegah gangguan bootloader tingkat rendah, yang biasanya dicegah dengan antivirus dasar atau keamanan OS. Menurut pendapat saya, dan menurut sebagian besar dokumentasi di luar sana, itu dapat dinonaktifkan dengan aman.