3.19.0-65 ​​ha introdotto i nuovi requisiti di avvio sicuro a 14.04 LTS?

10

Il mio laptop è arrivato con 14.04 (Trusty Tahr) LTS. Da allora, non ho apportato modifiche significative e ho applicato aggiornamenti ogni volta che ne sono stato informato.

Il 15 luglio 2016 stavo applicando gli aggiornamenti normalmente, o almeno così pensavo. La finestra pop-up "Software Updater" era arrivata fino a "Configurare shim-signed", quando ho ottenuto questo pop-up "Debconf" : Schermata, i cui contenuti sono descritti dettagliatamente nel testo di accompagnamento.

Come puoi vedere:

  • dice "Configurazione dell'avvio protetto" in caratteri grandi
  • ha un "Disabilitare l'avvio protetto UEFI?" casella di spunta (casella di controllo)
  • ha un pulsante "Aiuto"
  • ha un pulsante "Avanti"

Non l'ho mai visto prima. Ho cliccato sul pulsante "Aiuto" prima di fare uno screenshot, che ha mostrato il terzo pop-up che puoi vedere.

Aiuto testo pop-up

Nel caso in cui qualcuno cerchi una di queste frasi ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Passaggi successivi

Se ricordo bene, ...

  • Dopo un po 'ho accettato di "Disabilitare l'avvio protetto UEFI" e ho fatto clic sul pulsante "Avanti".
  • Questo mi ha portato direttamente a una finestra in cui ho impostato una password (inserendola due volte).
  • Il processo di aggiornamento è terminato normalmente, con un popup che mi chiede quando riavviare.
  • Ho ricominciato poco dopo.
  • Durante il processo di avvio, c'era una schermata blu che diceva qualcosa come "premere un tasto qualsiasi per configurare mok".
  • Ho premuto un tasto.
  • Invece di essere stato invitato a fornire la password che avevo impostato 5 minuti prima, come mi aspettavo, il laptop si è avviato rapidamente in modo normale.
  • Ho effettuato l'accesso a Ubuntu normalmente.
  • L'adattatore Wi-Fi non funzionava.
  • Non sono riuscito ad avviare VM VirtualBox. L'errore era "Driver del kernel non installato".
  • Vari altri problemi.
  • Ho provato a riavviare di nuovo, più di una volta, ma non ho mai più visto quella schermata blu "configura mok".
  • Ho notato che il mio kernel attuale era 3.19.0-65
  • Quindi ho riavviato e usato grub per selezionare 3.19.0-64
  • Tutto funzionava di nuovo bene.

Le mie note di ricerca

Nota01 - Ho cercato nelle mie impostazioni del BIOS (per la prima volta su questo laptop). L'avvio protetto sembra essere abilitato. Se "Debconf" fosse riuscito a disabilitare UEFI Secure Boot, ciò si sarebbe riflesso nelle impostazioni del BIOS?

Nota02 - Il mio laptop è un Dell XPS 13 e altre persone segnalano problemi con 3.19.0-65 ​​sull'hardware Dell.

Nota03 - Le istruzioni di aggiornamento per USN-3037-1 dicono che si aggiorna alla 3.19.0-65. Il paragrafo finale è:

ATTENZIONE: a causa di un'inevitabile modifica dell'ABI, agli aggiornamenti del kernel è stato assegnato un nuovo numero di versione, che richiede di ricompilare e reinstallare tutti i moduli del kernel di terze parti eventualmente installati. A meno che tu non abbia disinstallato manualmente i metapacchetti standard del kernel (ad es. Linux-generico, linux-generico-lts-RELEASE, linux-virtuale, linux-powerpc), anche un aggiornamento del sistema standard eseguirà automaticamente questo.

(Sono solo un utente e non lo capisco davvero. Non otteniamo sempre un nuovo numero di versione? E non dobbiamo sempre ricompilare e reinstallare: un processo gestito da DKMS o qualcosa del genere?)

Nota04 - Il log delle modifiche per 3.19.0-65.73 presenta molti problemi UEFI, inclusi i cambiamenti che riguardano EFI_SECURE_BOOT_SIG_ENFORCEeCONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Nota05 - Poiché la mia versione del kernel è la 3.19, suppongo che devo essere nello trusty linux-lts-vivid stack di abilitazione LTS (??), come da tabella qui , dove 3.19.0-65.73 è attualmente l'ultima voce.

Nota06 - Sembra che qualcuno che si trova nello trusty linux-lts-wilystack di abilitazione LTS (versione del kernel 4.2) possa avere gli stessi pop-up, il giorno prima di me, ma senza riscontrare problemi successivi .

Nota07 - C'è una risposta di aprile 2016 che dice:

In Ubuntu 16.04, Ubuntu inizia a imporre l'avvio sicuro a livello di kernel. Prima del 16.04, Ubuntu non ti impone davvero di usare il kernel firmato e i moduli kernel firmati, anche se hai l'avvio sicuro attivato.

Potrebbe essere che ora, a luglio 2016, Ubuntu abbia introdotto i nuovi requisiti di avvio sicuro a 14.04 LTS? In caso contrario, qual è il problema che sto riscontrando con 3.19.0-65? E in entrambi i casi, cosa dovrei fare io (e le altre persone che hanno problemi) al riguardo?

Grazie!

kernel  uefi  dkms 
Peter Ford
fonte
1
+1 Solo per la quantità di lavoro e informazioni che hai inserito in questa domanda. Istruzioni passo per passo su tutto ciò che è accaduto. Ecco come dovrebbe apparire una buona domanda secondo me.
Parto,
1
Sono l'altra persona (nota 6). Questo si riduce a una scelta a tre vie: disattivare l'avvio sicuro (abbastanza facile), perdere la funzionalità di driver di terze parti (inaccettabile) o firmare i driver da soli (super complicato). Il sistema ha tentato di aiutarti a disattivare l'avvio protetto ma non ha funzionato nel tuo caso ... ha funzionato nel mio.
Marmo organico,

Risposte:

2

Hai ragione. Il team del kernel Canonical ha abilitato EFI_SECURE_BOOT_SIG_ENFORCE nel nuovo kernel Ubuntu 3.19.

Ciò impedisce il caricamento di moduli kernel di terze parti non firmati.

Sembra che ci sia uno script con GUI che dovrebbe aiutare a disabilitare Secure Boot.

Non ha funzionato nel tuo caso. Dipende dall'implementazione UEFI specifica nel tuo computer.

Ma puoi semplicemente disabilitare Secure Boot nelle impostazioni UEFI.

Vedi questa risposta e commenti qui sotto.

Pilot6
fonte
Grazie. La risposta collegata menziona "mokutil --disable-validation" come opzione. Vale la pena che io lo provi per primo? O firmando i moduli da solo? (O è qualcosa che devo ricercare e decidere da solo; quanti benefici ottengo dal mantenere Secure Boot abilitato?)
Peter Ford,
Il modo più semplice è disabilitare Secure Boot e lasciarlo disabilitato. Non c'è alcun vantaggio in quella stupida funzionalità Microsoft Secure Boot.
Pilota 6
La disabilitazione di Secure Boot è anche la soluzione consigliata da Dell: en.community.dell.com/techcenter/os-applications/f/4613/p/… Tornerò e pubblicherò qui quando l'ho provato.
Peter Ford,
2

È inoltre possibile disabilitare l'avvio protetto in esecuzione sudo update-secureboot-policy. Questa pagina wiki spiega questo metodo.

Ara Pulido
fonte
Grazie. Quella pagina wiki sembra anche essere la più vicina che ho visto a una conferma ufficiale che la risposta alla mia domanda è "sì, deliberatamente". Immagino che "update-secureboot-policy" sia stato eseguito sulla mia macchina come parte del processo di aggiornamento, risultando nell'esperienza che ho descritto nella mia domanda. E per qualche motivo non è riuscito a disabilitare Secure Boot e non è stato in grado di gestire tale errore o spiegarmi la situazione.
Peter Ford,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.