别太焦虑，我来帮你拆解这些问题：

• 事后开启Secure Boot不会锁定已被入侵的系统：Secure Boot的核心作用是在每次开机启动阶段校验整个启动链（从UEFI固件、引导加载器到内核的完整性和合法签名）。如果你的系统之前真的被恶意篡改过（比如内核或引导程序被替换），开启Secure Boot后下一次开机直接会失败——因为固件会拒绝加载未签名或签名无效的组件。所以现在开启它，是从当下开始为启动过程加防护，不是把之前可能的风险“锁”进系统里。

• 一开始就开Secure Boot是理想情况，但事后开也完全可行：确实，安装系统时就开启Secure Boot的话，Ubuntu会自动处理好内核签名、必要驱动的签名适配，减少后续折腾。但你现在事后开启也没问题，只是需要处理像VirtualBox这类第三方驱动的签名问题——毕竟Secure Boot会阻止未签名的内核模块加载，这也是之前你内核被标记为tainted的原因。解决方法也简单：要么用Ubuntu官方仓库提供的VirtualBox版本（通常已经适配了Secure Boot的签名要求），要么自己生成一个签名密钥并导入到UEFI固件里，给vboxdrv模块签名就行。

• 你并没有过度重视这个功能，但也不用神化它：Secure Boot是很实用的安全防护，能有效抵御启动级别的恶意软件（比如篡改引导程序的rootkit）。但它管不到系统运行过程中的恶意程序，所以日常还是要保持系统更新、只从可信源安装软件。现在你已经通过了HS1等校验，说明当前的启动链是安全合规的，这已经达到了Secure Boot的核心防护目标。

备注：内容来源于stack exchange，提问作者Worn-out_home-tech