Linux on 安洛的小窝

Arch Linux 配置 UKI+TPM PCR policies 解锁 LUKS 分区

Mon, 26 Jan 2026 12:46:59 +0000

封面图：https://www.bilibili.com/opus/992929256980873221

前言

一直以来，我都是使用 TPM 绑定 PCR 7+12 hash 来自动解锁 LUKS 分区。然而，一来这样没有测量内核（PCR#11），二来这样任何内核参数的修改都会触发解锁失败，带来了很多不方便。TPM PCR policies 提供了一种机制，允许对 PCR 测量值进行签名，当系统启动时，TPM 会通过和硬盘密钥一起写入的公钥来验证该签名，当签名验证成功时，释放硬盘密钥。而像 PCR#11 这样的只和内核映像相关的测量值很容易计算。因此，我们可以在生成内核映像之后，提前计算测量值并进行签名；下次启动时，TPM 验证该签名正确，就会释放密钥，从而允许更新内核映像并不破坏 TPM 自动解锁。

本文使用以下工具：

sbctl
systemd-boot
mkinitcpio
systemd-ukify
systemd-cryptenroll

本文希望达成以下结果：

将内核、内核参数、initrd 等组件打包成统一内核映像（UKI）。当我自己在系统内执行此生成时，不会导致 TPM 自动解锁失败，从而允许内核升级和内核参数修改；而外部的修改尝试会导致解锁失败，即禁止内核替换以及启动时编辑内核参数。

注意：安全启动和 TPM policies 都会利用签名来进行验证。下文中尽量区分开这两种情况。我在进行此次配置之前已经配置好了 sbctl 安全启动，因此不再涉及相关内容。sbctl 如果已经配置好了和 mkinitcpio 协作的，不需要修改，配置依然有效。如果你还没有配置，可以参考安全启动#sbctl 进行配置，sbctl 自带所有钩子，只需要配置 sbctl 本身即可，不需要手动签名，非常简单。

生成 UKI

我之前使用的是一般的内核+initrd方式启动，因此首先需要切换到 UKI。

统一内核映像（Unified Kernel Image，UKI）是一个可执行文件，可直接从 UEFI 固件进行启动，也可以无需或通过简单的配置由引导加载器自动生成。它将一个 UEFI boot stub 程序（例如 systemd-stub(7)）、一个 Linux 内核映像、一个 initrd 以及其它资源打包到了单个 UEFI PE 文件中。

该文件，也就是包括其下的所有元件都可以很方便地进行签名，以便与安全启动一起使用。

我使用 mkinitcpio+systemd-ukify 的方式生成 UKI。使用 mkinitcpio 是因为它与 Arch Linux 集成更好，像是 sbctl 包就有 mkinitcpio hook，可以自动对 mkinitcpio 生成的文件进行安全启动签名。使用 systemd-ukify 是因为它可以自动对内核映像进行 TPM policies 签名。这两个组件配合得非常好，安装 systemd-ukify 后，mkinitcpio 就会自动用它来生成 UKI，并且 mkinitcpio 的配置也可以自动传递给 systemd-ukify，systemd-ukify 这边只需要添加 TPM policies 相关的配置即可。

首先安装 systemd-ukify。

然后进行 mkinitcpio 的配置。该部分主要参考统一内核映像#mkinitcpio。首先配置内核命令行，也就是root=啊，quiet splash之类的，可以在/etc/kernel/cmdline下进行单文件配置，或者在/etc/cmdline.d/*.conf下进行多文件配置。将原本启动引导器里面配置的参数移过来即可。然后，编辑/etc/mkinitcpio.d/$LINUX.preset（$LINUX通常是内核包名），取消*_uki选项前面的注释，并修改其值为合适的路径，主要是修改esp为你自己的esp分区名。最后，就可以先尝试生成一下 UKI。

1
2

sudo mkdir -p esp/EFI/Linux
sudo mkinitcpio -p $LINUX

应该没有错误输出，且有Using ukify to build UKI字样。

然后，就可以进行 systemd-ukify 的配置。首先复制配置模板：

`1`	`sudo cp /usr/lib/kernel/uki.conf /etc/kernel/uki.conf`

然后，编辑/etc/kernel/uki.conf文件。我们使用 mkinitcpio 进行大部分配置，因此 systemd-ukify 这里我们只进行最简单的配置，仅仅配置 PCRSignature 小节。取消

1
2
3

#[PCRSignature:NAME]
#PCRPrivateKey=/etc/systemd/tpm2-pcr-private-key.pem
#PCRPublicKey=/etc/systemd/tpm2-pcr-public-key.pem

这三行的注释。把 NAME 修改为 default。

然后，根据这个路径生成相应的签名密钥对。

1
2
3

sudo ukify genkey \         
        --pcr-private-key=/etc/systemd/tpm2-pcr-private-key.pem \
        --pcr-public-key=/etc/systemd/tpm2-pcr-public-key.pem

完成后再次生成 UKI

`1`	`sudo mkinitcpio -p $LINUX`

应该能看到类似

1
2
3

  -> Using ukify to build UKI
Using config file: /etc/kernel/uki.conf
+ /usr/lib/systemd/systemd-measure sign ...

这样的输出。至此，有签名的 UKI 就生成完成了。

我使用 systemd-boot 引导，它会自动检测 UKI，不需要额外写配置。如果你使用其它引导器，请自行查阅相关文档。

写入 TPM 和加密密钥

在完成 UKI 签名之后，就可以写入 TPM 和加密密钥了。这个过程其实很简单，因为我们在默认路径生成了 pubkey，systemd 检测到有 pubkey 就会自动把它写入 TPM 并绑定到 PCR#11。因此只需要

1
2

#$DISK_DEVICE_PATH 就是 /dev 下你的加密硬盘路径
sudo systemd-cryptenroll --tpm2-device=auto $DISK_DEVICE_PATH

你可以用

`1`	`sudo cryptsetup luksDump $DISK_DEVICE_PATH \| grep pcr`

检查，应该可以看到

`1`	`tpm2-pubkey-pcrs: 11`

字样。

当然，更流行的做法是加上 PCR#7 的绑定。PCR#7 是安全启动状态，比如关闭安全启动就不能自动解锁，加强安全性。PCR#7 一般不会变化，如果变了一般是 fwupd 导致的，而要预计算这个变化需要先解决这个 issue。因此目前还是只能用静态哈希来绑定，不能用 PCR policy。

1
2

# --wipe-slot=tpm2 是抹除之前写入的和 tpm 关联的密钥
sudo systemd-cryptenroll --wipe-slot=tpm2 --tpm2-device=auto --tpm2-pcrs=7 $DISK_DEVICE_PATH

重启电脑，应该可以自动解锁。

清理工作

既然有了 UKI，那一般的 initrd image 就用不上了。编辑 /etc/mkinitcpio.d/$LINUX.preset，注释掉*_image选项，然后删除对应的initranfs-*-.img文件。另外引导器里面相应的引导入口也可以删掉了，对于 systemd-boot，自定义引导入口位于 $esp/loader/entries/。如果只用 UKI，那所有引导入口都可以删除，因为 systemd-boot 会自动检测 UKI，不需要自己写引导入口。

在Linux上使用迅游加速器

Sun, 12 Mar 2023 23:19:32 +0800

前言

proton等技术的发展让linux的游戏能力越来越好了。然而对于国内的游戏玩家来说，还有一个大问题就是网络问题。Linux上游戏网络加速目前主要有以下几种方式：

原生客户端。网易uu加速器提供了steam deck插件，该插件同样适用于一般的Linux。该插件需要配合手机客户端使用，不过手机客户端仅作为控制器，加速过程并不需要手机和电脑连接到同一局域网。参考SteamDeck插件安装步骤 Q&A
共享加速。该方法是很多加速器主机加速功能的主要方法。需要在手机、电脑或路由器上安装加速器客户端，然后将Linux连接到同一网络，然后使用主机加速功能进行加速。雷神加速器、迅游加速器以及刚刚提到的uu加速器都支持这种方式。如果你的电脑性能足够好，可以考虑使用虚拟机来运行加速器客户端。
虚拟机/wine运行加速器客户端。部分加速器的部分加速方式可以通过虚拟机或者wine来运行。该方法也是唯一不需要使用主机加速功能的方法，适合加速那些没有上线主机的游戏。使用虚拟机运行加速器客户端的方法可以参考https://hu60.cn/q.php/bbs.topic.95932.html，使用wine的方法可以参考https://winegame.net/games/uu/的脚本2和脚本3。
使用VPN加速。也就是本文介绍的方法。该方法需要使用VPN来连接到加速器的服务器，然后通过加速器的服务器来访问游戏服务器。这种方法的优点是不需要额外的软件，目前似乎只有迅游加速器的SVIP支持这种方式。虽然这种方式也是主机加速，但是它连接到节点而非选择游戏，所以可以用于加速大部分游戏，不受主机加速器支持的游戏的限制。

注意：本文所述方法需要迅游SVIP方能使用

本文主要介绍使用迅游加速器的主机VPN加速功能进行游戏加速。本文中系统使用的网络管理工具是networkmanager，这是被ubuntu、deepin、manjaro等主流系统所接受的网络管理工具。如果你使用的是其它网络管理工具，请自行查阅相关文档。

本文会涉及到的Linux发行版包括Arch/Manjaro，Ubuntu，Deepin。对于其它发行版，操作大同小异。

软件准备

Arch/Manjaro

networkmanager-l2tp

`1`	`sudo pacman -Syu networkmanager-l2tp`

Ubuntu

`1`	`sudo apt install network-manager-l2tp`

如果你使用的是gnome桌面环境，还可以安装

`1`	`sudo apt install network-manager-l2tp-gnome`

来使用gnome的图形界面来设置l2tp vpn

GUI

很多主流桌面环境在它们的设置中集成了networkmanager的设置。如果你的桌面环境没有提供此功能，你仍可通过nm-connection-editor来使用GUI配置networkmanager。ubuntu已预装该软件，对于Arch，它在extra仓库中，可以通过pacman安装： nm-connection-editor

`1`	`sudo pacman -Syu nm-connection-editor`

VPN配置

获取迅游节点信息

首先你需要有一个迅游SVIP帐号。之后打开https://pay.xunyou.com/u/#host，访问迅游个人中心的主机加速页面。迅游提供了港服、日服、美服、欧服四个服务器的主机加速节点。我们一一对应地创建4个vpn，这样只要连接到不同的vpn，就能连接到不同的节点。

Gnome图形界面

打开gnome设置，网络，VPN，点击加号，选择“第二层隧道协议(L2TP)“，名称取自己喜欢的，在”网关“一栏填入从迅游那里得到的服务器地址，用户名和密码栏照写。密码栏右侧小图标可以点击，建议改成仅为当前用户存储密码。然后点右上角添加即可。如图：

之后直接在gnome网络设置界面打开开关即可连接到对应的vpn。也可以在gnome右上角控制栏里面找到切换开关。需要注意的是，如果你要切换到另一个节点，你需要先手动关闭前一个vpn连接再开启新的vpn连接，否则会报错。

deepin(DDE)图形界面

Deepin预装了l2tp的vpn支持，并在它的网络设置界面提供了方便的设置选项。打开deepin的设置（控制中心），点击网络，vpn，点击加号，选择l2tp，名称取一个自己喜欢的，建议关闭自动连接，然后网关填入从迅游那里得到的服务器地址，用户名和密码照写，其它选项不变，保存即可。如图：

其它图形界面

对于kde等桌面环境，可参考上面两段进行配置。如果桌面环境没有提供相关设置项，可通过nm-connection-editor进行配置。首先以管理员用户启动nm-connection-editor（非管理员用户会无法保存密码，即使仅为当前用户保存也一样。这是nm-connection-editor的bug）

`1`	`sudo nm-connection-editor`

然后点击左下角的+号，选择l2tp，然后填入名称（随意），网关（即迅游处获得的服务器地址），用户名和密码（从迅游处获得）。保存即可。然后用你喜欢的方式连接到对应vpn就行（例如用nmtui或者nm-applet）

总结

虽然这样只有4个节点，远远不如迅游客户端那么灵活。但是能达到加速的效果，而且与wine或者虚拟机方案比起来没有性能损耗，连接也非常方便，只要启用vpn即可。实测Apex在使用香港和日本节点加速的时候都能达到<50ms的延迟，相比于直连进步巨大。

Manjaro Linux默认LUKS全盘加密解密慢，启动慢

Sun, 15 Jan 2023 12:22:26 +0800

前言

我的manjaro安装的时候选择了全盘安装，勾选luks加密。加密虽好，但是我发现这里有个问题，manjaro启动的时候解密时间非常的长，需要10s左右。这显然不正常。经过搜索，我发现这个问题很可能跟LUKS的iter-time这个参数有关https://bbs.archlinux.org/viewtopic.php?id=217193。以下是archwiki里面关于iter-time参数的介绍：

Number of milliseconds to spend with PBKDF2 passphrase processing. Release 1.7.0 changed defaults from 1000 to 2000 to “try to keep PBKDF2 iteration count still high enough and also still acceptable for users."[2]. This option is only relevant for LUKS operations that set or change passphrases, such as luksFormat or luksAddKey. Specifying 0 as parameter selects the compiled-in default..

大体上就是LUKS等待PBKDF2解密密钥的时间。默认是2000ms，这个数字对于新的机器来说其实有点太高了，现代cpu大多不需要这么长的解密时间。所以我们可以适当缩短这个时间。

正文

参考https://unix.stackexchange.com/questions/690138/how-to-modify-iter-time-on-a-existing-luks-partition,我们可以修改这个iter-time。使用以下命令：

`1`	`sudo cryptsetup luksChangeKey <device> --iter-time <time in ms>`

<device>填写LUKS加密的分区，可以用lsblk查看。<time in ms>填写以毫秒为单位的iter-time，我填了300，也有看到有人填60的。取决于你的cpu。这还会要求你修改密码，如果你不希望修改，你可以直接填写原来的密码。注意，这个命令需要执行两次，原因我下面讲。

表面上看，只需要执行一次命令，修改一次就可以了。然而实际上还是有问题。manjaro的全盘加密默认注册了两个key slot。slot 0是通过我们设置的密码加密的，而slot 0解锁之后会解密一个密钥文件，通过这个密钥再来解密slot 1，进而解密整个硬盘。上面的命令会修改slot 0，但是修改后却会将其放在slot 2的位置。LUKS是按顺序尝试解锁的，这会导致LUKS先尝试解锁slot 1，解锁失败后再尝试slot 2，白白浪费了时间。怎么办呢？很简单，我们再执行一次这个命令。这个命令是将修改后的key放在最小的空slot。第一次执行命令时，slot 0和slot 1都被占用，所以新key放在了slot 2。这时slot 0才被清除。所以第二次执行命令时，slot 1和slot 2都被占用，新key就会被放回slot 0。这样就能达成我们的目的了。

结语

经过以上调整，我的开机解密时间缩短到了原来的1/10不到，大大提高了开机速度，让我觉得之前的开机都是在浪费生命XD。另外也了解到了不少关于LUKS的知识。可见折腾好处多多，能用就行的思想要不得😛。

在全盘加密的Manjaro Linux上配置安全启动(Secure Boot)

Tue, 03 Jan 2023 22:10:46 +0800

本文已过期。GRUB的一次更新要求GRUB使用的字体也必须签名，这让GRUB配置安全启动变得麻烦。如果要配置Secure Boot，推荐换用systemd-boot或rEFInd等引导器。对于这些引导器，Arch Wiki的教程已非常详细。例如，我现在采用的systemd-boot+sbctl的方案，可参考https://wiki.archlinuxcn.org/wiki/UEFI/%E5%AE%89%E5%85%A8%E5%90%AF%E5%8A%A8#sbctl

前言

本文主要介绍使用shim+MOK+grub2实现安全启动全盘加密的Manjaro Linux。

首先说一下我的环境，我的电脑是宏碁spin5，Manjaro是使用的全盘安装，btrfs格式分区，勾选全盘加密。

在开始以下工作之前，建议先将secureboot恢复到出厂设置。

分析

首先当然要看看Arch Wiki。以下内容也大量借鉴了这篇wiki。

这里提到要发挥secure boot安全功能的建议：

设置一个强的硬件设置密码。（一般来说，在bios里面设置）
不使用默认的厂商密钥和第三方密钥。根据Archwiki的警告，有变砖风险，这里就不折腾了。
uefi直接启动内核，包括microcode和initramfs，不使用启动加载器。这主要是缩短启动信任链的长度，减少被攻击的环节。这个方案推荐和第2条一起食用，这样比较方便，这里也不折腾了。
启用全盘加密。避免能碰到你硬件的人乱动硬盘内容。
使用TPM加强secure boot。

然后简单看看实现secureboot的方案。

首先就是使用自己的密钥，优点是所有情况都在自己掌握之中，你可以完全控制签名哪些启动项来启动，非常安全。缺点是容易变砖，另外你需要对每个启动项签名，对于windows你也要自己配置。这里不采用这种方案，因为怕变砖。
其次是使用已经经过微软签名的启动加载器。这样的加载器有两个，一个是preload，一个是shim。preload只能使用hash来验证启动项目，并且在preload阶段使用它的hash tool来导入hash。这一来比较麻烦，每次启动加载器或者内核更新都要重新导入一遍hash，hash多了还要自己清理，二来preload阶段全盘加密没有解开，hash tool也访问不到内核镜像。所以放弃这个方案，使用shim。shim可以用hash，也可以用MOK，我们这里介绍的是shim+MOK的方案。

正文

释义

下文中，$esp指的是你的efi分区位置。请在所有提到$esp的地方自觉替换。下文中大多数命令需要root权限执行。

软件安装

你需要安装以下软件：

shim-signed (aur)
sbsigntools

设置shim

（注：本节部分有误。bootx64.efi是systemd-boot的默认位置。）备份bootx64.efi。这一般认为是电脑的默认启动项，我们用shim来代替他。

`1`	`mv $esp/EFI/boot/bootx64.efi $esp/EFI/boot/bootx64.efi.bak`

将shim复制到原来bootx64.efi的位置

1
2

cp /usr/share/shim-signed/shimx64.efi $esp/EFI/BOOT/BOOTx64.EFI
cp /usr/share/shim-signed/mmx64.efi $esp/EFI/BOOT/

最后，创建一个新的nvram入口指向shim

`1`	`efibootmgr --unicode --disk /dev/$disk --part $Y --create --label "Shim" --loader /EFI/BOOT/BOOTx64.EFI`

这里的$disk请替换成你的efi分区所在磁盘，大多数人应该是sda或者sdb，但是像我就是nvme0n1。$Y请替换成你的efi在这块磁盘上是第几个分区。这些可以通过lsblk命令得到。

设置grub

接下来，我们要对grub进行设置。要使grub能在secureboot模式下启动，grub必须集成了能让它读取到vmlinuz和initramfs的所有模块。你可以参考ubuntu的grub生成脚本来选择你所需要的模块。然后，将这些模块记录成环境变量使用。

作为参考，我是这么处理的。新建/etc/grub_modules文件，内容如下：

CD_MODULES="
	all_video
	boot
	btrfs
	cat
	chain
	configfile
	echo
	efifwsetup
	efinet
	ext2
	fat
	font
	gettext
	gfxmenu
	gfxterm
	gfxterm_background
	gzio
	halt
	help
	hfsplus
	iso9660
	jpeg
	keystatus
	loadenv
	loopback
	linux
	ls
	lsefi
	lsefimmap
	lsefisystab
	lssal
	memdisk
	minicmd
	normal
	ntfs
	part_apple
	part_msdos
	part_gpt
	password_pbkdf2
	png
	probe
	reboot
	regexp
	search
	search_fs_uuid
	search_fs_file
	search_label
	sleep
	smbios
	squash4
	test
	true
	video
	xfs
	zfs
	zfscrypt
	zfsinfo
	cpuid
	play
	tpm
	"
GRUB_MODULES="$CD_MODULES
	cryptodisk
	gcry_arcfour
	gcry_blowfish
	gcry_camellia
	gcry_cast5
	gcry_crc
	gcry_des
	gcry_dsa
	gcry_idea
	gcry_md4
	gcry_md5
	gcry_rfc2268
	gcry_rijndael
	gcry_rmd160
	gcry_rsa
	gcry_seed
	gcry_serpent
	gcry_sha1
	gcry_sha256
	gcry_sha512
	gcry_tiger
	gcry_twofish
	gcry_whirlpool
	luks
	lvm
	mdraid09
	mdraid1x
	raid5rec
	raid6rec
	"

之后source这个文件即可。

注意：如果你在grub启动后遭遇unkown tpm error问题，请删除tpm模块。

除了这些模块，你的grubx64.efi还需要有一个sbat小节。以下是完整的生成命令：

1
2

source /etc/grub_modules
grub-install --target=x86_64-efi --efi-directory=$esp --modules="${GRUB_MODULES}" --sbat /usr/share/grub/sbat.csv

签名

然后你需要创建MOK，也就是机器所有者密钥。这里建议你选择一个合适的工作目录进行生成。我选择了创建一个/etc/MOK目录。生成密钥并且签名。

mkdir -p /etc/MOK
cd /etc/MOK
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=my Machine Owner Key/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
sbsign --key MOK.key --cert MOK.crt --output /boot/$vmlinuz /boot/$vmlinuz
sbsign --key MOK.key --cert MOK.crt --output $esp/EFI/Manjaro/grubx64.efi $esp/EFI/Manjaro/grubx64.efi

这里的$vmlinuz请替换成你自己的linux内核镜像文件名。你可以用

`1`	`ls /boot \| grep 'vmlinuz'`

得到你需要签名的文件的完整列表。

这里的$esp/EFI/Manjaro是Manjaro的grub默认配置文件生成grub的位置。这个位置可能有以下几种情况：

在没有配置文件的情况下执行grub-install，将会生成在$esp/EFI/grub
在通过grub-mkconfig等命令创建了grub配置文件的情况下，这个位置由/etc/default/grub中的GRUB_DISTRIBUTOR指定。例如在Manjaro中，这个值默认是manjaro，所以最终生成目录在$esp/EFI/Manjaro 请仔细确认你的grub生成位置。下文中提到$esp/EFI/Manjaro的地方，请自行替换。

签名完成后，将生成的MOK.cer复制到$esp/目录，为后续导入做准备。

完成

最后，将grub复制到shim同目录下。

`1`	`cp $esp/EFI/Manjaro/grubx64.efi $esp/EFI/boot/grubx64.efi`

然后重启电脑，启动项选shim进入shim，这时shim会有一个错误提示界面。不要慌，这是因为你的MOK文件还未导入MOK list。按页面提示进入MokManager，然后选择Enroll key，选择刚刚复制过来的MOK.cer，按提示导入这个密钥即可。

后续工作

虽然现在你的电脑已经支持secureboot了，但是对grub和对vmlinuz的签名是一次性的，一旦这两个软件更新，你就需要重新签名。这显然非常不方便。为此，我们可以设置两个pacman钩子，在这两个软件更新的时候自动进行签名。因为每个人终端环境不一样，比如我就无法直接使用archwiki上记载的hook。所以此处仅供参考。需要注意的是，以下命令并不检查签名情况，在已经签名的情况下依然会附加另一个签名，可能导致内核和grub不断增大。但以一般人更新的频率来看，应该不会有太大影响。

创建/usr/local/bin/sign_kernel_for_secureboot.sh，内容如下：

1
2

#! /bin/sh
/usr/bin/find /boot/ -maxdepth 1 -name 'vmlinuz-*' -exec /usr/bin/sh -c '/usr/bin/sbsign --key /etc/MOK/MOK.key --cert /etc/MOK/MOK.crt --output {} {};' \;

并且为其赋予可执行权限：

`1`	`sudo chmod +x /usr/local/bin/sign_kernel_for_secureboot.sh`

创建/etc/pacman.d/hooks/999-sign_kernel_for_secureboot.hook，内容如下：

[Trigger]
Operation = Install
Operation = Upgrade
Type = Package
Target = linux
Target = linux-lts
Target = linux-hardened
Target = linux-zen
Target = linux515

[Action]
Description = Signing kernel with Machine Owner Key for Secure Boot
When = PostTransaction
Exec = /usr/local/bin/sign_kernel_for_secureboot.sh
Depends = sbsigntools
Depends = findutils

这里的$linuxX自行替换成你的linux内核包名。例如对于manjaro的5.15内核，这里应该替换为linux515。

然后是对grub进行签名的钩子。

新建 /usr/local/bin/sign_grub_for_secureboot.sh 内容如下：

#! /bin/bash
source /etc/grub_modules
grub-install --target=x86_64-efi --efi-directory=$esp --modules="${GRUB_MODULES}" --sbat=/usr/share/grub/sbat.csv
sbsign --key /etc/MOK/MOK.key --cert /etc/MOK/MOK.crt --output $esp/EFI/Manjaro/grubx64.efi $esp/EFI/Manjaro/grubx64.efi
cp $esp/EFI/Manjaro/grubx64.efi $esp/EFI/boot/grubx64.efi

并且为其赋予可执行权限。

`1`	`sudo chmod +x /usr/local/bin/sign_grub_for_secureboot.sh`

新建 /etc/pacman.d/hooks/999-sign_grub_for_secureboot.hook 内容如下：

[Trigger]
Operation = Install
Operation = Upgrade
Type = Package
Target = grub

[Action]
Description = Signing kernel with Machine Owner Key for Secure Boot
When = PostTransaction
Exec = /usr/local/bin/sign_grub_for_secureboot.sh
Depends = sbsigntools
Depends = grub

完成。