3.19.0-65 ​​đã giới thiệu các yêu cầu Khởi động an toàn mới cho 14.04 LTS chưa?

10

Máy tính xách tay của tôi đi kèm với 14.04 (Trusty Tahr) LTS. Kể từ đó, tôi không có thay đổi đáng kể nào và tôi đã áp dụng các bản cập nhật bất cứ khi nào tôi được thông báo về chúng.

Vào ngày 2016-07-15, tôi đã áp dụng các bản cập nhật như bình thường, hoặc tôi nghĩ vậy. Cửa sổ bật lên "Trình cập nhật phần mềm" đã có đến mức "Định cấu hình shim-Sign", khi tôi nhận được cửa sổ bật lên "Debconf" này : Ảnh chụp màn hình, có nội dung được mô tả ở độ dài trong văn bản kèm theo.

Như bạn có thể thấy nó:

  • nói "Cấu hình khởi động an toàn" bằng chữ lớn
  • có "Tắt UEFI Secure Boot?" hộp đánh dấu (hộp kiểm)
  • có nút "Trợ giúp"
  • có nút "Chuyển tiếp"

Tôi chưa bao giờ nhìn thấy điều này trước đây. Tôi đã nhấp vào nút "Trợ giúp" trước khi chụp ảnh màn hình, cửa sổ bật lên thứ 3 mà bạn có thể thấy.

Trợ giúp văn bản bật lên

Chỉ trong trường hợp bất cứ ai tìm kiếm theo bất kỳ cụm từ nào trong số này ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Các bước tiếp theo

Nếu tôi nhớ chính xác, ...

  • Sau một thời gian, tôi đồng ý "Vô hiệu hóa Khởi động an toàn UEFI" và nhấp vào nút "Chuyển tiếp".
  • Điều này đưa tôi trực tiếp đến một cửa sổ nơi tôi thiết lập mật khẩu (nhập hai lần).
  • Quá trình cập nhật kết thúc theo cách thông thường, với một cửa sổ bật lên hỏi tôi khi nào nên khởi động lại.
  • Tôi khởi động lại ngay sau đó.
  • Trong quá trình khởi động, có một màn hình màu xanh với nội dung như "nhấn phím bất kỳ để cấu hình mok".
  • Tôi nhấn một phím.
  • Thay vì được yêu cầu cung cấp mật khẩu mà tôi đã thiết lập trước đó 5 phút, như tôi đã mong đợi, máy tính xách tay chỉ nhanh chóng khởi động theo cách thông thường.
  • Tôi đã đăng nhập vào Ubuntu như bình thường.
  • Bộ điều hợp Wi-Fi không hoạt động.
  • Tôi không thể khởi động máy ảo VirtualBox. Lỗi là "Trình điều khiển hạt nhân chưa được cài đặt".
  • Nhiều vấn đề khác.
  • Tôi đã thử khởi động lại một lần nữa, hơn một lần, nhưng tôi không bao giờ thấy màn hình "configure mok" màu xanh đó nữa.
  • Tôi lưu ý rằng hạt nhân hiện tại của tôi là 3.19.0-65
  • Vì vậy, tôi đã khởi động lại và sử dụng grub để chọn 3.19.0-64
  • Mọi thứ đã hoạt động tốt trở lại.

Ghi chú nghiên cứu của tôi

Note01 - Tôi đã xem các cài đặt BIOS của mình (lần đầu tiên trên máy tính xách tay này). Secure Boot dường như được kích hoạt. Nếu "Debconf" đã thành công trong việc vô hiệu hóa UEFI Secure Boot, điều đó có được phản ánh trong cài đặt BIOS không?

Note02 - Máy tính xách tay của tôi là Dell XPS 13 và những người khác đang báo cáo sự cố với 3.19.0-65 ​​trên phần cứng Dell.

Note03 - Hướng dẫn cập nhật cho USN-3037-1 nói để nâng cấp lên 3.19.0-65. Đoạn cuối là:

CHÚ Ý: Do thay đổi ABI không thể tránh khỏi, các bản cập nhật kernel đã được cấp số phiên bản mới, yêu cầu bạn phải biên dịch lại và cài đặt lại tất cả các mô-đun hạt nhân của bên thứ ba mà bạn có thể đã cài đặt. Trừ khi bạn gỡ cài đặt thủ công các siêu dữ liệu kernel tiêu chuẩn (ví dụ: linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), một bản nâng cấp hệ thống tiêu chuẩn cũng sẽ tự động thực hiện việc này.

(Tôi chỉ là người dùng và tôi không thực sự hiểu điều này. Không phải chúng tôi luôn nhận được số phiên bản mới sao? Và chúng tôi không phải luôn biên dịch lại và cài đặt lại - một quy trình được quản lý bởi DKMS hay gì đó?)

Note04 - Thay đổi trong 3.19.0-65.73 có nhiều vấn đề về UEFI, bao gồm các thay đổi ảnh hưởng EFI_SECURE_BOOT_SIG_ENFORCECONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Note05 - Vì phiên bản kernel của tôi là 3.19, tôi giả sử tôi phải ở trên trusty linux-lts-vivid ngăn xếp hỗ trợ LTS (??), theo bảng ở đây , trong đó 3.19.0-65.73 hiện là mục mới nhất.

Note06 - Có vẻ như ai đó đang ở trong trusty linux-lts-wilyngăn xếp hỗ trợ LTS (phiên bản kernel 4.2) có thể đã có cùng một cửa sổ bật lên, một ngày trước tôi, nhưng không gặp phải bất kỳ vấn đề nào sau đó .

Note07 - Có câu trả lời từ tháng 4 năm 2016 cho biết:

Trong Ubuntu 16.04, Ubuntu bắt đầu thực thi khởi động an toàn đến cấp kernel. Trước ngày 16.04, Ubuntu không thực sự bắt buộc bạn sử dụng các mô-đun hạt nhân đã ký và các mô-đun hạt nhân đã ký, thậm chí bạn đã bật khởi động an toàn.

Có thể là bây giờ, vào tháng 7 năm 2016, Ubuntu đã giới thiệu các yêu cầu Khởi động an toàn mới cho 14.04 LTS? Nếu không, những gì vấn đề tôi đang gặp với 3.19.0-65? Và dù sao đi nữa, tôi (và những người khác gặp vấn đề) phải làm gì với nó?

Cảm ơn!

kernel  uefi  dkms 
Peter Ford
nguồn
1
+1 Chỉ với số lượng công việc và thông tin bạn đã đặt vào câu hỏi này. Hướng dẫn từng bước của tất cả mọi thứ đã xảy ra. Đây là cách một câu hỏi hay nên như thế nào theo ý kiến ​​của tôi.
Parto
1
Tôi là người khác (chú thích 6). Điều này có thể lựa chọn ba cách: tắt khởi động an toàn (khá dễ dàng), mất chức năng trình điều khiển của bên thứ 3 (không thể chấp nhận) hoặc tự ký tên các trình điều khiển (siêu phức tạp). Hệ thống đã cố gắng giúp bạn tắt khởi động an toàn nhưng nó không hoạt động trong trường hợp của bạn ... nó đã làm trong tôi.
Đá cẩm thạch hữu cơ

Câu trả lời:

2

Bạn nói đúng. Nhóm nhân Canonical đã kích hoạt EFI_SECURE_BOOT_SIG_ENFORCE trong hạt nhân Ubuntu 3.19 mới.

Điều đó ngăn không cho tải các mô-đun hạt nhân bên thứ 3 không dấu.

Dường như có một tập lệnh với GUI được cho là giúp vô hiệu hóa Secure Boot.

Nó không hoạt động trong trường hợp của bạn. Nó phụ thuộc vào việc triển khai UEFI cụ thể trong máy tính của bạn.

Nhưng bạn chỉ có thể vô hiệu hóa Secure Boot trong cài đặt UEFI của mình.

Xem câu trả lời và ý kiến ​​dưới đây.

Phi công6
nguồn
Cảm ơn. Câu trả lời được liên kết đề cập đến "mokutil --disable-verify" là một tùy chọn. Có đáng để tôi thử trước không? Hoặc tự ký các mô-đun? (Hoặc đó là điều mà tôi phải tự nghiên cứu và tự quyết định; tôi nhận được bao nhiêu lợi ích từ việc bật Secure Boot?)
Peter Ford
Cách dễ nhất là tắt Secure Boot và để nó bị vô hiệu hóa. Không có lợi ích trong tính năng Microsoft Secure Boot ngu ngốc đó.
Pilot6
Vô hiệu hóa Secure Boot cũng là giải pháp được đề xuất của Dell: en.community.dell.com/techcenter/os-appluggest/f/4613/p/. Tôi sẽ quay lại và đăng ở đây khi tôi đã thử.
Peter Ford
2

Bạn cũng có thể tắt Secure Boot đang chạy sudo update-secureboot-policy. Đây trang wiki giải thích phương pháp này.

Ara Pulido
nguồn
Cảm ơn. Trang wiki đó dường như cũng là trang gần nhất tôi từng thấy với một xác nhận chính thức rằng câu trả lời cho câu hỏi của tôi là "có, cố tình". Tôi đoán "update-secureboot-chính sách" đã được thực thi trên máy của tôi như là một phần của quá trình cập nhật, dẫn đến trải nghiệm tôi mô tả trong câu hỏi của mình. Và vì một số lý do, nó không thể vô hiệu hóa Secure Boot và không thể xử lý lỗi đó hoặc giải thích cho tôi tình huống.
Peter Ford
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.