milyen hatranyai vannak?
A secure bootnak? Secure boot mellett csak aláírt kernel modulokat tudsz betölteni. Nem aláírt bootloadert sem tudsz használni.
Linux alatt frissítéskor szívás, hogy alá kell írni "kézzel" a kernel modulokat, olyan kulccsal, amiket a BIOS/UEFI-be kell enrollolnod. Ezt frissítéskor automatikusan futó toolokkal segítik (pl mokutil). Pl suse alatt nagyon egyszerű és működik, arch linux alatt is (sbctl), fedora alatt többet szívtam vele (lehet, hogy én bénáztam).
De egy csomó előnye van, ami miatt szerintem érdemes használni.
Már a boot folyamat legelejétől biztosítja, hogy semmi ne legyen manipulálva.
A Secure Boot állapota például bekerül a TPM PCR regisztereibe is, így ez kulcsok védelmére is használható, pl csak akkor old fel egy LUKS titkosítást, ha be van kapcsolva a Secure Boot.
Egy pendrive-val sem lehet csak úgy „belebuzerálni” a rendszerbe, és ha valaki kikapcsolja a Secure Bootot, a kulcs nem lesz elérhető, tehát a lemezt sem tudja feloldani.