Activer le SecureBoot sur Clover |
Bienvenue invité ( Connexion | Inscription )
Activer le SecureBoot sur Clover |
1 Jan 2016, 00:33
Message
#1
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
Activer le SecureBoot sur son Hackintosh Le SecureBoot qu'est-ce que c'est exactement ? Le SecureBoot est une technologie développée par Microsoft destinée à sécuriser le démarrage des PCs UEFI (rien à voir avec le SIP d'Apple donc). Le principe consiste à signer les fichiers d'amorcage .efi avec une clé de chiffrement (RSA2048). Les fichiers .efi signés avec les clés approuvées sont considérés comme sûrs par le firmware de la carte mère. Si un fichier .efi signé a été altéré, le démarrage sur celui ci sera refusé. Si un fichier .efi n'est pas signé, le démarrage sera également refusé. Cela permet entre autre d'empêcher des programmes malintentionnés de type bootkit de nuire. Comme cela a été développé par Microsoft, cela est totalement transparent pour Windows. Quelques distributions Linux le supportent également. C'est également le cas pour Clover ! Mais il faut parcourir un chemin semé de quelques embûches pour y parvenir (pas de grosses embûches, je vous rassure). Si vous souhaitez approfondir le sujet, ce site anglophone est riche en informations : http://www.rodsbooks.com/efi-bootloaders/secureboot.html. Également, pour pouvoir réussir cet objectif, il est nécessaire de ne pas avoir un PC avec un firmware UEFI Le SecureBoot de Microsoft et le System Integrity Protection d'Apple sont deux choses bien à part, j'insiste là dessus. On peut choisir d'activer les deux, d'en activer qu'un seul des deux, ou d'en activer aucun, vous faîtes comme vous le souhaitez. Comment installe t-on ce SecureBoot avec Clover alors ? — Clover compilé avec support du SecureBoot Tout d'abord, la version de Clover que vous avez probablement installée n'est pas compilée avec le support du SecureBoot, car c'est le cas par défaut, et c'est également comme cela qu'est distribué officiellement Clover depuis SourceForge. Qu'à cela ne tienne, vous trouverez la dernière version compilée par mes soins avec le support du SecureBoot ici. Mais pour les versions ultérieures elles ne seront pas toujours proposées sur ce tuto. Vous pouvez les compiler vous même en vous armant d'un peu de patience. Vous aurez besoin pour cela de Xcode au complet, avec les Command Line Tools. Vous avez deux options :
Téléchargez Build_Clover.command. Sélectionnez l'option de compilation avec macros custom et sélectionnez ENABLE_SECURE_BOOT, puis entrez b pour lancer la compilation.
Téléchargez CloverGrowerPro. Vous pouvez laisser les valeurs par défaut données par CloverGlowerPro sauf lorsqu'il vous demandera pour le SecureBoot : vous devrez taper "yes". La compilation de Clover avec CloverGrowerPro ne fonctionne pas sous OS X ≥ 10.11.3 et Xcode ≥ 7.3 mais vous pouvez le compiler sous OS X ≤ 10.11.2 et Xcode ≤ 7.2.1 et l'utiliser ensuite sous OS X ≥ 10.11.3. Pour le moment, installez donc cette version de Clover compilée pour le support SecureBoot comme vous installeriez Clover habituellement. — SbSignTools Vous aurez besoin des outils en ligne de commande SbSignTools pour signer les fichiers binaires .efi. Ha oui aussi, vous devez être un minimum à l'aise avec le Terminal pour réussir le tuto. Vous pouvez télécharger les outils SbSignTools ici : https://mega.nz/#!FFZhzTJI!1olkNmh01MyR6vB3QmarhXnNfLprwsN9CQo6-dzPwJ8. Deux méthodes pour l'installation On arrive à un moment où il va falloir faire un choix. On peut choisir soit d'utiliser les clés de son firmware UEFI en les exportant sur une clé USB et en signant les fichier .efi avec. Cela revient donc à faire confiance à Microsoft, dont les clés sont publiques (et donc n'importe qui peut signer n'importe quoi avec à peu près). On peut sinon choisir de fabriquer ses propres clés, que l'on garde pour soi (on n'est jamais mieux servi que par soi même ). Étant donné que beaucoup de choses sont similaires on va entremêler les deux méthodes avec des zolies couleurs. Tout ce qui concerne la méthode "j'utilise mes propres clés de chiffrement" sont dans cette couleur. Tout ce qui concerne la méthode "j'utilise les clés de chiffrement déjà présentes dans mon firmware" sont dans cette couleur. Commençons par ajouter ceci dans notre config.plist : Code <Boot> <dict> ... <key>Secure</key> <true/> ... </dict> On va donc créer nos propres clés de la façon suivante dans le Terminal (en remplacant "Your Name" par votre nom) : Code openssl req -new -x509 -newkey rsa:2048 -keyout MOK.key -out MOK.crt -nodes -days 3650 -subj "/CN=Your Name/" openssl x509 -in MOK.crt -out MOK.cer -outform DER Une fois ces deux commandes tapées, vous obtiendrez trois fichiers MOK.key, MOK.crt, et MOK.cer qui constituent vos clés. Gardez les précieusement. On choisit d'utiliser les clés de Microsoft (et celles que vous auriez ajouté dans votre firmware dans une vie antérieure). Il faut commencer par aller dans votre firmware, selon les menus divers et variés dirigez vous vers le SecureBoot et la gestion des clés de celui-ci. Ici cherchez un menu permettant de sauvegarder ou d'exporter les clés, en fonction du constructeur, et enregistrez les soit dans une clé usb FAT32, soit dans la partition efi. Votre firmware devrait vous avoir sorti des fichiers sous la forme macle.rsa et macle.pem. Maintenant, vous allez monter la partition EFI de votre Hack et signer tous les fichier .efi de Clover. Pour signer un fichier .efi, il faut utiliser le programme sbsign de la façon suivante en adaptant le chemin vers vos clés : Code sbsign --key chemin/vers/MOK.key --cert chemin/vers/MOK.crt --output mon-fichier-signe.efi mon-fichier-pas-signe.efi Vous pouvez donc signer vos fichiers .efi de la façon suivante en adaptant le chemin vers les clés : Code sbsign --key /chemin/vers/macle.rsa --cert /chemin/vers/macle.pem --output mon-fichier-signe.efi mon-fichier-pas-signe.efi Je vous déconseille de mettre le même nom pour le fichier signé et le fichier non signé, car je ne sais pas du tout quel effet ça peut engendrer, et ça pourrait bien vous causer du tort. Sauvegardez les originaux, et placez les versions signées ensuite à la place. Vous trouverez des fichiers .efi dans /Volumes/EFI/EFI/BOOT/, dans /Volumes/EFI/EFI/CLOVER, dans /Volumes/EFI/EFI/CLOVER/drivers64UEFI, et dans /Volumes/EFI/EFI/CLOVER/Tools. Il est important de tous les signer pour ne pas se retrouver bloqué. (Je sais c'est long et fastidieux mais à vous de scripter ça si le cœur vous en dit. ) Dernier fichier à signer, celui qui se trouve dans /System/Library/CoreServices/boot.efi ! Ce petit coquin est verrouillé remarquez. Dans le terminal déverrouillez le : Code sudo chflags nouchg /System/Library/CoreServices/boot.efi Sauvegardez le, signez le, et mettez la version signée à la place. Rétablissez les droits : Code sudo chown root:wheel /System/Library/CoreServices/boot.efi sudo chmod 644 /System/Library/CoreServices/boot.efi sudo chflags uchg /System/Library/CoreServices/boot.efi Bravo, vous avez signé tous vos .efi. Il ne vous reste plus qu'à donner votre clé à votre firmware ! Pour cela, mettez le fichier MOK.cer sur une clé usb formattée en FAT32, ou même dans la partition EFI pourquoi pas (par contre et par sécurité, n'oubliez pas de l'enlever une fois que c'est terminé). A partir de là en fonction de votre firmware UEFI avec des interfaces qui peuvent changer d'un constructeur à l 'autre, on va essayer de généraliser un peu. Allez dans le menu qui concerne le SecureBoot, dans la gestion des clés, il y aura quelque chose comme append key db que vous devrez sélectionner pour ajouter votre clé de chiffrement depuis votre clé usb ou votre partition efi. Vous n'avez plus qu'à activer le SecureBoot et c'est terminé ! Ha oui, n'oubliez pas qu'il arrive parfois qu'Apple modifie le fichier /System/Library/CoreServices/boot.efi lors de certaines mises à jour. Je viens de découvrir à ce sujet, que Clover a lui également sa propre politique sur le SecureBoot. En gros une fois qu'il a été validé par le firmware de la carte mère, il est libre de ses actes. Du coup pour vérifier si le boot.efi dans /System/Library/CoreServices, il nous donne plusieurs options de configurations (je ne pense pas qu'on puisse lui faire mémoriser dans le config.plist, ça peut se comprendre). Par défaut, il choisit Deny pour refuser donc tout ce qui n'est pas signé. Après, si lors d'une mise à jour d'OS X Apple a modifié le boot.efi et qu'il n'est plus signé, on peut changer ce réglage en allant sur l’icône en forme de cadenas. Comme ça on peut resigner notre boot.efi. Ceci est aussi valable si on veut booter sur une clé d'install sans désactiver le SecureBoot. Cela dit si on utilise trop souvent ce genre de manipulation, on perd un peu l'intérêt du SecureBoot. Cela sert donc avant tout pour dépanner. Bon et bien voilà, ce tuto est terminé. Il est possible qu'il soit régulièrement mit à jour pour diverses raisons et également pour mettre des liens vers les nouvelles versions de Clover gracieusement compilées pour la communauté. Liens de téléchargements de Clover avec support SecureBoot Ce message a été modifié par polyzargone - 16 Jan 2017, 22:49.
Raison de l'édition : Regroupement des liens de téléchargement sur une page MEGA
-------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
1 Jan 2016, 00:55
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 13 720 Inscrit : 11 May 2006 Membre no 60 938 |
Super boulot !
Un grand merci à toi et à très vite pour la suite . -------------------- Un Mac • macOS 10.15.7 MacBook Air mi-2012 Core i5 1,7 GHz Intel HD 4000 SSD 64 Go
Des Hacks • Asus Z170-P - Core i7 6700 3,40 GHz - Sapphire RX 6600 XT 8 Go - 32 Go DDR4 • Gigabyte H110M-S2H - Core i5 6600 3,30 GHz - Zotac GTX 1060 6 Go - 32 Go DDR4 • Gigabyte GA-H97-HD3 - Core i5 4570 3,20 GHz - MSI GTX 650 Ti 2 Go - 16 Go DDR3 • Acer Aspire V3 772G Core i5 4210M 2,60 GHz - Intel HD 4600 + GTX 850M 2 Go (désactivée) - 16 Go DDR3 • Dell Latitude e7470 Core i5 6300U 2,40 GHz - Intel HD 520 - 16 Go DDR4 • Dell Latitude 7490 Core i7 8650U 1,90 GHz - Intel UHD 620 - 16 Go DDR4 • Dell Latitude e7440 Core i7 4600U 2,10 GHz - Intel HD 4400 - 16 Go DDR3 • HP Elite 8300 USFF - Core i7 3770S 3,90 GHz - Intel HD 4000 (+ quelques autres...) Politique vis à vis des outils automatisés et des distributions - Guide d'installation - Tutoriels - Lexique et utilité des Kexts - FAQ Générale du Hackintosh - FAQ des Bootloaders - FAQ des Bootflags - FAQ des problèmes les plus courants - FAQ sur les Mises à jour Majeures sur Hackintosh |
|
|
1 Jan 2016, 01:42
Message
#3
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
Super boulot ! Un grand merci à toi et à très vite pour la suite . Merci Bon je vais écrire la suite parce qu'en fait ya pas mal de points communs dans la deuxième méthode avec la première, je dirai de lire au dessus Je suis un gros feignant -------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
3 Jan 2016, 12:13
Message
#4
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 899 Inscrit : 7 Jan 2007 Membre no 77 534 |
Très joli tuto : limpide et agréable à lire.
Du coup je vais peut être me laisser tenter -------------------- MacMini (Early 2006)
MacMini1,1>MacMini2,1 / C2D 2.33 GHz / 4 Go / 1 To / BluRay / MacOSX Lion 10.7 Nuc D54250WYK (Late 2014) avec Audirvana sur un DAC ifi iDSD nano MacMini7,1 / i5-4250u / HD5000 / 16 Go / SSD 480 Go / Fanless / macOS 10.15 Nuc NUC5i5MYBE (Late 2015) MacMini7,1 / i5-53000u / HD5500 / 16 Go / SSD 1 To + HDD 1,5 To / Blu-Ray / Fanless / macOS 10.15 |
|
|
3 Jan 2016, 20:39
Message
#5
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
J'ai enfin réussi à compiler Clover
Yavait quelques emmerdements sur mon Hack, j'ai fais le ménage, maintenant ça fonctionne. -------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
4 Jan 2016, 03:13
Message
#6
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
J'ai modifié la structure du tuto pour le rendre plus agréable à lire, et pour moins se perdre.
-------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
16 Feb 2016, 13:05
Message
#7
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
Je viens de tomber sur une information de Slice qui explique pourquoi il est impossible de compiler Clover sous 10.11.3 : https://sourceforge.net/p/cloverefiboot/code/3345/
En fait avec 10.11.3, Apple a dû passer gcc et clang en version 5, et Slice confirme que la compilation ne passe pas avec ces versions. Après si vous vous voulez vous éviter d'installer une version antérieure sur une autre partition pour compiler, vous pouvez essayer de mettre gcc et clang en 4.9, mais je ne suis pas sûr du résultat. À vous de voir. -------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
15 May 2016, 20:52
Message
#8
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
Ceux pour qui la compilation avec CloverGrowerPro ne fonctionne pas sous OS X ≤ 10.11.2, il faut taper les commandes suivantes avant de lancer la compilation en mettant le chemin correspondant à votre toolchain pour l'aider à trouver nasm :
Code mkdir -p ~/src/opt ln -s /path/to/toolchain ~/src/opt/local Edit: Aussi évitez de compiler avec Xcode 7.3+ pour le moment. Restez sous Xcode 7.2.1. Ce message a été modifié par iPotable - 15 May 2016, 21:58. -------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
18 May 2016, 17:15
Message
#9
|
|
Nouveau Membre Groupe : Membres Messages : 3 Inscrit : 18 May 2016 Membre no 198 862 |
Un boulot d'enfer! un grand grand merci....;
Ce message a été modifié par polyzargone - 18 May 2016, 17:59.
Raison de l'édition : Évitez de citer les posts en entier lorsqu'ils sont très longs.
-------------------- achat tire lait electrique - prix tire lait medela - comparatif tire lait manuel
|
|
|
11 Aug 2016, 20:30
Message
#10
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
https://www.nextinpact.com/news/100963-secu...bee-ouverte.htm
(Ceci allait forcément arriver un jour où l'autre connaissant Microsoft) Ce message a été modifié par iPotable - 11 Aug 2016, 20:47. -------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
30 Oct 2016, 18:22
Message
#11
|
|
Adepte de Macbidouille Groupe : Membres Messages : 221 Inscrit : 15 Sep 2008 Membre no 121 727 |
Nouvel outil, nouvelles possibilités.
-------------------- Hackintosh : Intel Core i5 4690 3,5GHz quad - 16Go DDR3 1600MHz CL7 G.Skill - Carte mère Asus H97-Plus - Carte Graphique Asus Radeon R9 280 3Go GDDR5 - Crucial BX300 240GB - Crucial M500 960Go - WD Green 3To - disque dur de 160Go d'un défunt imac pour macOS - Lecteur/Graveur DVD - macOS 10.12 (via Clover) - Windows 10 (mea culpa) - Gentoo (parce que le choix est le droit ultime)
Motorola Nexus 6 sous LineageOS 15.1 - Découvrez une disposition ergonomique qui va vous redonner le goût du clavier ! |
|
|
Nous sommes le : 24th April 2024 - 12:12 |