Cara Mudah Menjalankan EndeavourOS dengan Secure Boot Aktif Tanpa Ribet

Banyak pengguna Linux pemula yang langsung mematikan Secure Boot di BIOS begitu ingin menginstal EndeavourOS karena dianggap sebagai penghalang. Padahal, fitur ini sebenarnya krusial untuk memastikan bahwa bootloader dan kernel yang dimuat belum dimodifikasi oleh pihak tidak bertanggung jawab. Memang, EndeavourOS tidak mendukung Secure Boot secara out-of-the-box seperti Fedora atau Ubuntu, tapi bukan berarti kita tidak bisa mengaktifkannya sendiri dengan cara yang elegan.

Masalah utamanya terletak pada lisensi dan infrastruktur. Distribusi besar mampu membayar biaya sertifikasi kunci digital ke Microsoft (yang memegang otoritas kunci di kebanyakan motherboard), sementara distribusi berbasis Arch seperti EndeavourOS menyerahkan kontrol tersebut sepenuhnya kepada pengguna. Di sini, kita akan berperan sebagai pemilik otoritas kunci tersebut menggunakan metode User-Owned Keys.

Persiapan Sebelum Eksekusi

Sebelum masuk ke langkah teknis, pastikan sistem Anda sudah dalam kondisi berikut agar tidak terjadi kegagalan booting:

• Gunakan Systemd-boot atau GRUB (Panduan ini lebih optimal untuk Systemd-boot).
• Pastikan paket sbctl sudah terpasal melalui terminal.
• Akses BIOS dan ubah Secure Boot ke Setup Mode (ini akan menghapus kunci bawaan pabrik sementara).

"Mengelola kunci Secure Boot sendiri jauh lebih aman daripada sekadar mengikuti kunci default pabrikan yang seringkali memiliki celah keamanan pada database-nya."

Langkah Demi Langkah Menggunakan SBCTL

Kita akan menggunakan alat bernama sbctl yang sangat ramah pengguna untuk mengotomatisasi proses signing kernel dan bootloader.

1. Cek Status: Jalankan sbctl status. Jika tertulis Setup Mode, Anda berada di jalur yang benar.
2. Membuat Kunci Baru: Ketik sudo sbctl create-keys untuk membuat kunci identitas baru khusus untuk mesin Anda.
3. Mendaftarkan Kunci: Jalankan sudo sbctl enroll-keys -ms. Perintah ini mendaftarkan kunci Anda sekaligus menyertakan kunci Microsoft agar Anda tetap bisa melakukan dual-boot dengan Windows.
4. Proses Penandatanganan (Signing): Cari tahu di mana letak file boot Anda, lalu gunakan perintah sudo sbctl sign -s /boot/EFI/systemd/systemd-bootx64.efi (sesuaikan path-nya).
5. Verifikasi: Pastikan semua file penting sudah ditandatangani dengan sbctl list-files.
\ol>



Tabel Perbandingan Metode Keamanan

Metode	Kesulitan	Keamanan
Secure Boot Off	Sangat Mudah	Rendah (Rawan Rootkit)
PreLoader/Shim	Menengah	Sedang
SBCTL (Custom Keys)	Sedikit Teknis	Tinggi (Otoritas Penuh)



Sudah Siap Mengunci Sistem Anda Sekarang

Setelah semua langkah selesai, silakan nyalakan kembali Secure Boot di BIOS ke mode Deployed atau User Mode. Jika sistem masuk ke desktop dengan lancar, selamat! Anda baru saja meningkatkan level keamanan EndeavourOS Anda setara dengan standar korporasi tanpa kehilangan fleksibilitas khas Arch Linux.

Apakah Anda lebih memilih kenyamanan tanpa Secure Boot atau justru merasa lebih tenang dengan proteksi ekstra di level hardware ini? Keputusan ada di tangan Anda, namun untuk penggunaan harian yang melibatkan data sensitif, metode sbctl adalah investasi waktu yang sangat sepadan.