Czy 3.19.0-65 ​​wprowadził nowe wymagania Bezpiecznego rozruchu do 14.04 LTS?

10

Mój laptop przyszedł z 14.04 (Trusty Tahr) LTS. Od tego czasu nie wprowadziłem żadnych istotnych zmian i stosuję aktualizacje za każdym razem, gdy otrzymuję powiadomienie o nich.

W dniach 15.07.2016 r. Stosowałem aktualizacje jak zwykle, a przynajmniej tak mi się wydawało. Wyskakujące okno „Software Updater” dotarło aż do „Konfigurowania shim-podpisanego”, kiedy otrzymałem to okno „Debconf” : Zrzut ekranu, którego treść jest szczegółowo opisana w towarzyszącym tekście.

Jak widać:

  • mówi „Konfigurowanie bezpiecznego rozruchu” dużymi literami
  • ma opcję „Wyłączyć bezpieczny rozruch UEFI?” pole wyboru (pole wyboru)
  • ma przycisk „Pomoc”
  • ma przycisk „Forward”

Nigdy wcześniej tego nie widziałem. Kliknąłem przycisk „Pomoc” przed zrobieniem zrzutu ekranu, co spowodowało wyświetlenie trzeciego wyskakującego okienka.

Pomoc w wyskakującym okienku

Na wypadek, gdyby ktoś szukał któregokolwiek z tych wyrażeń ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Kolejne kroki

Jeżeli dobrze pamiętam, ...

  • Po chwili zgodziłem się na „Wyłącz bezpieczny rozruch UEFI” i kliknąłem przycisk „Prześlij”.
  • Zabrało mnie to bezpośrednio do okna, w którym ustawiłem hasło (wpisując je dwukrotnie).
  • Proces aktualizacji zakończył się w normalny sposób, a wyskakujące okienko pyta mnie, kiedy ponownie uruchomić.
  • Zrestartowałem wkrótce potem.
  • Podczas procesu uruchamiania pojawił się niebieski ekran z napisem „naciśnij dowolny klawisz, aby skonfigurować mok”.
  • Nacisnąłem klawisz.
  • Zamiast poproszenia o podanie hasła, które ustawiłem 5 minut wcześniej, jak się spodziewałem, laptop szybko się uruchomił w normalny sposób.
  • Zalogowałem się do Ubuntu jak zwykle.
  • Karta Wi-Fi nie działała.
  • Nie mogłem uruchomić maszyn wirtualnych VirtualBox. Wystąpił błąd „Sterownik jądra nie został zainstalowany”.
  • Różne inne problemy.
  • Próbowałem ponownie uruchomić komputer więcej niż raz, ale nigdy więcej nie widziałem niebieskiego ekranu „konfiguruj mok”.
  • Zauważyłem, że moje obecne jądro to 3.19.0-65
  • Więc zrestartowałem i użyłem grub, aby wybrać 3.19.0-64
  • Wszystko znów działało dobrze.

Moje notatki z badań

Uwaga 01 - poszukałem ustawień BIOS (po raz pierwszy na tym laptopie). Wygląda na to, że Bezpieczny rozruch jest włączony. Jeśli „Debconf” skutecznie wyłączył Bezpieczny rozruch UEFI, czy znalazłoby to odzwierciedlenie w ustawieniach BIOS-u?

Uwaga 02 - Mój laptop to Dell XPS 13, a inne osoby zgłaszają problemy z wersją 3.19.0-65 ​​na sprzęcie Dell.

Uwaga 03 - Instrukcje aktualizacji dla USN-3037-1 mówią o aktualizacji do 3.19.0-65. Ostatni akapit to:

UWAGA: Z powodu nieuniknionej zmiany ABI aktualizacje jądra otrzymały nowy numer wersji, który wymaga ponownej kompilacji i ponownej instalacji wszystkich modułów jądra innych firm, które mogłeś zainstalować. O ile nie odinstalujesz ręcznie standardowych metapakietów jądra (np. Linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), automatycznie przeprowadzi to również standardowa aktualizacja systemu.

(Jestem tylko użytkownikiem i naprawdę tego nie rozumiem. Czy nie zawsze otrzymujemy nowy numer wersji? I nie zawsze musimy ponownie kompilować i ponownie instalować - proces zarządzany przez DKMS czy coś takiego?)

Uwaga04 - Dziennik zmian dla wersji 3.19.0-65.73 zawiera wiele problemów z interfejsem UEFI, w tym zmiany dotyczące EFI_SECURE_BOOT_SIG_ENFORCEiCONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Uwaga 05 - Ponieważ moja wersja jądra to 3.19, zakładam, że muszę znajdować się na trusty linux-lts-vivid stosie włączania LTS (??), zgodnie z tabelą tutaj , gdzie 3.19.0-65.73 jest obecnie najnowszą pozycją.

Uwaga 06 - Wygląda na to, że ktoś, kto jest na trusty linux-lts-wilystosie włączania LTS (jądro wersja 4.2), może mieć takie same wyskakujące okienka dzień wcześniej, ale bez żadnych dalszych problemów .

Uwaga 07 - Odpowiedź z kwietnia 2016 r. Brzmi :

W Ubuntu 16.04 Ubuntu zaczyna wymuszać bezpieczny rozruch do poziomu jądra. Przed 16.04 Ubuntu tak naprawdę nie wymusza używania podpisanego jądra i podpisanych modułów jądra, nawet jeśli masz włączony bezpieczny rozruch.

Czy to możliwe, że teraz, w lipcu 2016 r., Ubuntu wprowadziło nowe wymagania Bezpiecznego rozruchu do 14.04 LTS? Jeśli nie, to jaki jest problem mam z 3.19.0-65? W każdym razie, co ja (i inni ludzie mający problemy) powinienem z tym zrobić?

Dzięki!

kernel uefi dkms Peter Ford
źródło
1
+1 Tylko za ilość pracy i informacje, które wkładasz w to pytanie. Instrukcje krok po kroku wszystkiego, co się wydarzyło. Tak, moim zdaniem, powinno wyglądać dobre pytanie.
Parto
1
Jestem tą drugą osobą (przypis 6). Sprowadza się to do trójstronnego wyboru: wyłącz bezpieczne uruchamianie (dość łatwe), stracisz funkcjonalność sterownika innej firmy (niedopuszczalne) lub sam podpisz sterowniki (bardzo skomplikowane). System próbował pomóc ci wyłączyć bezpieczny rozruch, ale nie działał w twoim przypadku ... działał w moim.
Marmur Organiczny

Odpowiedzi:

2

Masz rację. Zespół kanonicznego jądra włączył EFI_SECURE_BOOT_SIG_ENFORCE w nowym jądrze Ubuntu 3.19.

To zapobiega ładowaniu niepodpisanych zewnętrznych modułów jądra.

Wygląda na to, że istnieje skrypt z GUI, który powinien pomóc w wyłączeniu Bezpiecznego rozruchu.

W twoim przypadku nie zadziałało. To zależy od konkretnej implementacji UEFI na twoim komputerze.

Ale możesz po prostu wyłączyć Bezpieczny rozruch w ustawieniach UEFI.

Zobacz tę odpowiedź i komentarze poniżej.

Pilot 6
źródło
Dzięki. Połączona odpowiedź wymienia jako opcję „mokutil --disable-validation”. Czy warto najpierw spróbować? A może sam podpisuję moduły? (Czy jest to coś, co muszę zbadać i sam zdecydować; ile korzyści czerpię z utrzymywania bezpiecznego rozruchu?)
Peter Ford,
Najprostszym sposobem jest wyłączenie Bezpiecznego rozruchu i pozostawienie go wyłączonego. Nie ma korzyści z tej głupiej funkcji Microsoft Secure Boot.
Pilot6
Wyłączenie Bezpiecznego rozruchu jest również zalecanym rozwiązaniem firmy Dell: en.community.dell.com/techcenter/os-applications/f/4613/p/… Wrócę i opublikuję tutaj, gdy spróbuję .
Peter Ford
2

Możesz także wyłączyć Bezpieczne uruchamianie sudo update-secureboot-policy. Ta strona wiki wyjaśnia tę metodę.

Ara Pulido
źródło
Dzięki. Ta strona wiki wydaje się również najbliższa oficjalnemu potwierdzeniu, że odpowiedź na moje pytanie brzmi „tak, celowo”. Wydaje mi się, że „update-secureboot-policy” został wykonany na moim komputerze w ramach procesu aktualizacji, co spowodowało doświadczenie opisane w moim pytaniu. Z jakiegoś powodu nie udało się wyłączyć Bezpiecznego rozruchu i nie był w stanie poradzić sobie z tą awarią ani wyjaśnić mi sytuacji.
Peter Ford,