secboot
语法
secboot[-l all]|[PK]|[KEK]|[db]|[dbx][-sfo]
secboot[-f file]
secboot -e [PK]|[KEK]|[db]|[dbx][-f
file]
secboot -r [all | PK | KEK | db | dbx] [-q]
secboot -d [all]|[PK]|[KEK]|[db]|[dbx][-i
index][-q]
secboot -x [all | PK | KEK | db | dbx] [-i
index][-f
file]
说明
显示和修改安全引导数据库、密钥和安全报告。
选项
-l
显示安全引导数据库和密钥。
all
显示或删除所有安全引导变量的签名。
PK
显示平台密钥 (PK) 信息。它区分大小写。
KEK
显示密钥交换密钥 (KEK) 信息。它区分大小写。
db
显示允许使用的签名数据库 (DB) 信息。
dbx
显示禁止使用的签名数据库 (DB) 信息。
-sfo
以标准格式输出显示信息。
-e
在安全引导变量中注册 DER 格式的 X509 文件或 EFI 应用程序哈希或 Shell 脚本。Shell 脚本必须以 "#!NSH" 签名开头
-f file
显示 DER 格式的 X509 文件信息。
-r
将所有安全引导签名重置为平台默认值。
-d
删除所有签名,或从指定的数据库中删除签名。
-i index
从特定数据库中选择签名 (1,2,...)。
-q
以无提示模式显示,而没有确认提示。
-x
将证书或哈希从安全引导数据库导出到目标文件。
示例
显示所有安全引导变量的签名。
Shell> secboot -l all
显示允许的签名数据库信息:
Shell> secboot -l db
显示 DER 格式的 X509 文件信息:
Shell> secboot -f abc.der
在安全引导变量中注册 DER 格式的 X509 文件:
Shell> secboot -e db -f abc.der
在允许的签名数据库中注册 EFI 应用程序哈希:
Shell> secboot -e db -f bootx64.efi
在允许的签名数据库中注册网络上的 EFI 应用程序的哈希:
Shell> secboot -e db -f http://www.example.com/BOOT/bootx64.efi
在允许的签名数据库中注册脚本哈希:
Shell> secboot -e db -f Test.nsh
在允许的签名数据库中注册网络位置上的脚本的哈希:
Shell> secboot -e db -f http://www.example.com/TESTS/Test.nsh
将所有安全引导签名重置为平台默认值:
Shell> secboot -r all
将 KEK 安全引导签名重置为平台默认值:
Shell> secboot -r KEK
删除所有安全引导签名:
Shell> secboot -d all
删除平台密钥:
Shell> secboot -d PK
清除允许的签名数据库:
Shell> secboot -d db
从密钥交换密钥中删除第二个签名:
Shell> secboot -d KEK -i 2
将第三个条目从 KEK 安全引导数据库导出到 abc.der
文件中:
Shell> secboot -x KEK -i 3 -f abc.der
从所有安全引导数据库中导出所有条目 (PK/KEK/db/dbx):
Shell> secboot -x all
从 KEK 安全引导数据库中导出所有条目 (PK/KEK/db/dbx):
Shell> secboot -x KEK