Lanzaboote: Secure Boot для NixOS, который не заставит вас рыдать

Если вы когда-нибудь пытались включить Secure Boot на Linux, то знаете: это как собрать IKEA-шкаф без инструкции, да ещё и с завязанными глазами. Но для NixOS появился спаситель — Lanzaboote.

Этот проект добавляет поддержку Secure Boot прямо в систему, используя systemd-boot и подписывая всё автоматически. Никаких ручных манипуляций с ключами, никаких «а почему у меня чёрный экран?». Просто добавил модуль — и вуаля, загрузка защищена.

Конечно, Secure Boot — это не панацея. Но если вы боитесь, что ваш ноутбук похитят и загрузят вредоносный GRUB, или просто хотите пройти корпоративные проверки безопасности — Lanzaboote ваш друг. Кстати, он уже в nixpkgs, так что установка сводится к паре строк в configuration.nix.

Разработчики явно знают боль NixOS-юзеров: всё декларативно, воспроизводимо и без сюрпризов. Единственный минус — пока поддерживаются только x86_64 и UEFI, но это покрывает 99% современных машин.

Комментарий студии METABYTE: Наконец-то Secure Boot на NixOS перестал быть квестом уровня «найди чёрную кошку в тёмной комнате». Если вы устали от ручного подписывания ядер — Lanzaboote спасёт ваш вечер. У нас в проектах мы тоже любим автоматизацию, но обычно ограничиваемся CI/CD, а не подписыванием загрузчика.