Введены ли в 3.19.0-65 ​​новые требования к безопасной загрузке для 14.04 LTS?

10

Мой ноутбук пришел с 14.04 (Trusty Tahr) LTS. С тех пор я не внес никаких существенных изменений и применяю обновления всякий раз, когда мне сообщают о них.

2016-07-15 я применял обновления как обычно, или я так думал. Когда я получил это всплывающее окно «Debconf», всплывающее окно «Обновление программного обеспечения» дошло до «Настройка shim-подписанного» : Снимок экрана, содержание которого подробно описано в сопроводительном тексте.

Как вы можете видеть это:

  • пишет «Настройка безопасной загрузки» большими буквами
  • "Отключить безопасную загрузку UEFI?" флажок (флажок)
  • имеет кнопку «Помощь»
  • имеет кнопку «Вперед»

Я никогда не видел этого раньше. Я нажал кнопку «Справка», прежде чем сделать снимок экрана, на котором появилось третье всплывающее окно, которое вы можете увидеть.

Всплывающий текст справки

На всякий случай кто-нибудь ищет по любой из этих фраз ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Последующие шаги

Если я правильно помню, ...

  • Через некоторое время я согласился «Отключить безопасную загрузку UEFI» и нажал кнопку «Вперед».
  • Это привело меня прямо к окну, где я установил пароль (вводя его дважды).
  • Процесс обновления завершился в обычном режиме, с всплывающим окном, спрашивающим меня, когда перезапустить.
  • Я перезапустил вскоре после.
  • Во время загрузки появился синий экран, на котором было написано что-то вроде «нажмите любую клавишу, чтобы настроить mok».
  • Я нажал клавишу.
  • Вместо того, чтобы попросить предоставить пароль, который я установил 5 минутами ранее, как я и ожидал, ноутбук просто быстро загрузился обычным способом.
  • Я вошел в Ubuntu как обычно.
  • Адаптер Wi-Fi не работал.
  • Я не мог запустить виртуальные машины VirtualBox. Ошибка: «Драйвер ядра не установлен».
  • Различные другие проблемы.
  • Я пытался перезапустить снова, не раз, но я никогда не видел этот синий экран "Настройка Мок" снова.
  • Я заметил, что мое текущее ядро ​​было 3.19.0-65
  • Поэтому я перезапустил и использовал grub для выбора 3.19.0-64
  • Все снова работало нормально.

Мои заметки об исследованиях

Note01 - Я посмотрел в настройках BIOS (впервые на этом ноутбуке). Безопасная загрузка, кажется, включена. Если бы «Debconf» успешно отключил безопасную загрузку UEFI, это было бы отражено в настройках BIOS?

Примечание 02. Мой ноутбук - Dell XPS 13, и другие люди сообщают о проблемах с 3.19.0-65 ​​на оборудовании Dell.

Note03 - В инструкциях по обновлению для USN-3037-1 сказано, что нужно обновить до 3.19.0-65. Последний абзац:

ВНИМАНИЕ: В связи с неизбежным изменением ABI обновлениям ядра был присвоен новый номер версии, что требует перекомпиляции и переустановки всех сторонних модулей ядра, которые вы, возможно, установили. Если вы вручную не удалили стандартные метапакеты ядра (например, linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), стандартное обновление системы также выполнит это автоматически.

(Я всего лишь пользователь, и я не совсем понимаю это. Разве мы не всегда получаем новый номер версии? И не всегда ли нам приходится перекомпилировать и переустанавливать - процесс, управляемый DKMS или чем-то еще?)

Примечание 04. В журнале изменений для 3.19.0-65.73 есть много проблем с UEFI, включая изменения EFI_SECURE_BOOT_SIG_ENFORCEиCONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Note05 - Поскольку моя версия ядра - 3.19, я предполагаю, что должен быть в trusty linux-lts-vivid стеке включения LTS (??), согласно таблице здесь , где 3.19.0-65.73 в настоящее время является последней записью.

Примечание 06. Похоже, что тот, кто находится в trusty linux-lts-wilyстеке поддержки LTS (версия ядра 4.2), мог получить те же самые всплывающие окна за день до меня, но без каких-либо последующих проблем .

Note07 - От апреля 2016 года есть ответ, который гласит:

В Ubuntu 16.04 Ubuntu начинает обеспечивать безопасную загрузку до уровня ядра. До 16.04 Ubuntu на самом деле не заставляло вас использовать подписанное ядро ​​и подписанные модули ядра, даже если у вас включена защищенная загрузка.

Может ли быть так, что теперь, в июле 2016 года, Ubuntu ввела новые требования к безопасной загрузке для 14.04 LTS? Если нет, то это проблема у меня с 3.19.0-65? И в любом случае, что мне (и другим людям, имеющим проблемы) делать с этим?

Спасибо!

Питер Форд
источник
1
+1 Только за объем работы и информацию, которую вы вложили в этот вопрос. Пошаговые инструкции обо всем, что произошло. Вот как должен выглядеть хороший вопрос на мой взгляд.
Парто
1
Я тот другой человек (примечание 6). Это сводится к трехстороннему выбору: отключить безопасную загрузку (довольно легко), потерять функциональность драйвера стороннего производителя (неприемлемо) или подписать драйверы самостоятельно (очень сложно). Система попыталась помочь вам отключить безопасную загрузку, но в вашем случае это не сработало ... у меня это получилось.
Органический мрамор

Ответы:

2

Ты прав. Команда Canonical Kernel Team включила EFI_SECURE_BOOT_SIG_ENFORCE в новом ядре Ubuntu 3.19.

Это предотвращает загрузку неподписанных сторонних модулей ядра.

Похоже, что есть скрипт с графическим интерфейсом, который должен помочь отключить безопасную загрузку.

Это не сработало в вашем случае. Это зависит от конкретной реализации UEFI на вашем компьютере.

Но вы можете просто отключить безопасную загрузку в настройках UEFI.

Смотрите этот ответ и комментарии ниже.

Pilot6
источник
Спасибо. В связанном ответе упоминается «mokutil --disable-validation» в качестве опции. Стоит ли мне попробовать это первым? Или сам подписываешь модули? (Или это что-то, что я должен исследовать и решить для себя; какую выгоду я получу от включения безопасной загрузки?)
Питер Форд
Самый простой способ - отключить безопасную загрузку и оставить ее отключенной. Эта глупая функция Microsoft Secure Boot не дает никаких преимуществ.
Pilot6
Отключение безопасной загрузки также является рекомендуемым решением Dell: en.community.dell.com/techcenter/os-applications/f/4613/p/… Я вернусь и опубликую здесь, когда попробую .
Питер Форд
2

Вы также можете отключить запуск защищенной загрузки sudo update-secureboot-policy. Эта вики-страница объясняет этот метод.

Ара Пулидо
источник
Спасибо. Эта вики-страница также кажется мне ближе всего к официальному подтверждению того, что ответ на мой вопрос «да, намеренно». Я предполагаю, что «update-secureboot-policy» была выполнена на моей машине как часть процесса обновления, в результате чего я описал свой вопрос. И по какой-то причине он не смог отключить безопасную загрузку и не смог обработать этот сбой или объяснить мне ситуацию.
Питер Форд