# 保险库
什么是保险库?
好的保险库是基于两个东西, vault.plist 和 vault.sig:
- vault.plist: 您的EFI的“快照”
- vault.sig: vault.plist的验证
这可以被视为OpenCore的安全启动,因此没有人可以在没有您的允许的情况下修改它并进入。
保险库的具体特征是一个256字节的RSA-2048签名。plist将被塞进我们的OpenCore.efi。这个键可以在编译前插入OpenCoreVault.c (opens new window),如果你已经编译了OpenCore efi,也可以使用sign.command
。
请注意,nvram plist不会被保险,因此使用模拟nvram的用户仍然有添加/删除某些nvram变量的风险
设置你的config.plist:
Misc -> Security -> Vault
:Basic
: 只需要vault.plist,主要用于文件系统完整性验证Secure
: 需要vault.plist和vault.sig,用于保险库的最佳安全性。Plist更改需要新的签名
Booter -> ProtectSecureBoot:
YES
- Insyde固件需要修复安全启动密钥和报告违规行为
设置升级保险:
获取OpenCorePkg并打开CreateVault
文件夹,在里面我们会找到以下内容:
create_vault.sh
RsaTool
sign.command
最后一个是我们关心的: sign.command
所以当我们运行这个命令时,它会在我们的Utilities文件夹旁边查找EFI文件夹,所以我们需要将我们的个人EFI带到OpenCorePkg文件夹中,或者将Utilities带到我们的EFI文件夹中:
现在,我们准备运行sign.command
:
在安装后禁用保险库:
如果你正在进行繁重的故障排除或需要禁用保险库,需要更改的主要内容如下:
- 获取一个新的OpenCore.efi副本
Misc -> Security -> Vault
设置为 Optional- 删除
vault.plist
和vault.sig