Apakah 3.19.0-65 ​​memperkenalkan persyaratan Boot Aman baru ke 14.04 LTS?

10

Laptop saya datang dengan 14,04 (Trusty Tahr) LTS. Sejak itu, saya tidak membuat perubahan signifikan, dan saya telah menerapkan pembaruan setiap kali saya diberitahu tentang mereka.

Pada 2016-07-15, saya menerapkan pembaruan seperti biasa, atau jadi saya pikir. "Software Updater" jendela pop-up telah sampai sejauh "Konfigurasi shim-ditandatangani", ketika saya punya ini "Debconf" pop-up : Cuplikan layar, yang isinya dijelaskan panjang lebar di teks yang menyertai.

Seperti yang Anda lihat:

  • mengatakan "Mengonfigurasi Boot Aman" dalam huruf besar
  • memiliki "Nonaktifkan UEFI Secure Boot?" kotak centang (kotak centang)
  • memiliki tombol "Bantuan"
  • memiliki tombol "Maju"

Saya belum pernah melihat ini sebelumnya. Saya mengklik tombol "Bantuan" sebelum mengambil tangkapan layar, yang memunculkan pop-up ke-3 yang dapat Anda lihat.

Bantuan teks pop-up

Kalau-kalau ada yang mencari dengan salah satu dari frasa ini ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Langkah Selanjutnya

Jika saya ingat dengan benar, ...

  • Setelah beberapa saat saya setuju untuk "Nonaktifkan UEFI Secure Boot", dan klik tombol "Forward".
  • Ini membawa saya langsung ke jendela tempat saya mengatur kata sandi (memasukkannya dua kali).
  • Proses pembaruan selesai dengan cara normal, dengan pop-up yang menanyakan kapan saya harus memulai kembali.
  • Saya memulai kembali segera setelah itu.
  • Selama proses boot, ada layar biru yang mengatakan sesuatu seperti "tekan tombol apa saja untuk mengkonfigurasi mok".
  • Saya menekan tombol.
  • Alih-alih diminta untuk memberikan kata sandi yang saya atur 5 menit sebelumnya, seperti yang saya harapkan, laptop hanya dengan cepat dinyalakan dengan cara biasa.
  • Saya masuk ke Ubuntu seperti biasa.
  • Adaptor Wi-Fi tidak berfungsi.
  • Saya tidak bisa memulai VirtualBox VMs. Kesalahannya adalah "driver kernel tidak diinstal".
  • Berbagai masalah lainnya.
  • Saya mencoba memulai kembali, lebih dari sekali, tetapi saya tidak pernah melihat layar biru "configure mok" lagi.
  • Saya mencatat bahwa kernel saya saat ini adalah 3.19.0-65
  • Jadi saya restart dan menggunakan grub untuk memilih 3.19.0-64
  • Semuanya bekerja dengan baik lagi.

Catatan Penelitian Saya

Note01 - Saya mencari di pengaturan BIOS saya (untuk pertama kalinya di laptop ini). Boot Aman tampaknya diaktifkan. Jika "Debconf" berhasil menonaktifkan UEFI Secure Boot, akankah hal itu tercermin dalam pengaturan BIOS?

Note02 - Laptop saya adalah Dell XPS 13, dan orang lain melaporkan masalah dengan 3.19.0-65 ​​pada perangkat keras Dell.

Note03 - Instruksi pembaruan untuk USN-3037-1 mengatakan untuk meningkatkan ke 3.19.0-65. Paragraf terakhir adalah:

PERHATIAN: Karena perubahan ABI yang tidak terhindarkan, pembaruan kernel telah diberi nomor versi baru, yang mengharuskan Anda untuk mengkompilasi ulang dan menginstal ulang semua modul kernel pihak ketiga yang mungkin telah Anda instal. Kecuali Anda secara manual menghapus metapackage kernel standar (mis. Linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), peningkatan sistem standar akan secara otomatis melakukan ini juga.

(Saya hanya pengguna dan saya tidak begitu mengerti hal ini. Bukankah kita selalu mendapatkan nomor versi baru? Dan bukankah kita selalu harus mengkompilasi ulang & menginstal ulang - suatu proses yang dikelola oleh DKMS atau sesuatu?)

Note04 - changelog untuk 3.19.0-65.73 memiliki banyak masalah UEFI, termasuk perubahan yang mempengaruhi EFI_SECURE_BOOT_SIG_ENFORCEdanCONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Note05 - Karena versi kernel saya adalah 3,19, saya berasumsi saya harus berada di trusty linux-lts-vivid tumpukan pemberdayaan LTS (??), sesuai tabel di sini , di mana 3.19.0-65.73 saat ini adalah entri terbaru.

Note06 - Tampaknya seseorang yang berada di trusty linux-lts-wilytumpukan enablement LTS (kernel versi 4.2) mungkin telah mendapatkan pop-up yang sama, sehari sebelum saya, tetapi tanpa menemukan masalah berikutnya .

Note07 - Ada jawaban dari April 2016 yang mengatakan:

Di Ubuntu 16.04, Ubuntu mulai menerapkan boot aman ke tingkat kernel. Sebelum 16.04, Ubuntu tidak benar-benar memaksa Anda untuk menggunakan kernel yang ditandatangani dan modul kernel yang ditandatangani, bahkan Anda sudah mengaktifkan boot aman.

Mungkinkah sekarang, pada Juli 2016, Ubuntu telah memperkenalkan persyaratan Boot Aman baru ke 14,04 LTS? Jika tidak, apa yang masalah Saya mengalami dengan 3.19.0-65? Dan apa pun yang terjadi, apa yang harus saya (dan orang lain punya masalah) lakukan?

Terima kasih!

kernel  uefi  dkms 
Peter Ford
sumber
1
+1 Hanya untuk jumlah pekerjaan dan info yang Anda masukkan ke pertanyaan ini. Petunjuk langkah demi langkah dari semua yang terjadi. Beginilah seharusnya pertanyaan yang bagus menurut saya.
Parto
1
Saya orang lain (catatan 6). Ini bermuara pada tiga pilihan cara: mematikan boot aman (cukup mudah), kehilangan fungsionalitas driver pihak ke-3 (tidak dapat diterima), atau menandatangani driver sendiri (sangat rumit). Sistem berusaha untuk membantu Anda mematikan boot aman tetapi tidak berhasil dalam kasus Anda ... itu ada di saya.
Marmer Organik

Jawaban:

2

Anda benar. Tim Kernel Canonical telah mengaktifkan EFI_SECURE_BOOT_SIG_ENFORCE di kernel Ubuntu 3,19 yang baru.

Itu mencegah dari memuat modul kernel pihak ketiga yang tidak ditandatangani.

Sepertinya ada skrip dengan GUI yang seharusnya membantu menonaktifkan Boot Aman.

Itu tidak berfungsi dalam kasus Anda. Itu tergantung pada implementasi UEFI tertentu di komputer Anda.

Tetapi Anda cukup menonaktifkan Boot Aman di pengaturan UEFI Anda.

Lihat jawaban dan komentar di bawah ini.

Pilot6
sumber
Terima kasih. Jawaban yang ditautkan menyebutkan "mokutil --disable-validation" sebagai opsi. Apakah saya layak mencobanya terlebih dahulu? Atau menandatangani modul sendiri? (Atau apakah itu sesuatu yang harus saya teliti dan putuskan sendiri; berapa banyak manfaat yang saya dapatkan dari menjaga Boot Aman diaktifkan?)
Peter Ford
Cara termudah adalah dengan menonaktifkan Boot Aman dan membiarkannya dinonaktifkan. Tidak ada manfaat dalam fitur Boot Aman Microsoft yang bodoh itu.
Pilot6
Menonaktifkan Boot Aman juga merupakan solusi yang disarankan Dell: en.community.dell.com/techcenter/os-applications/f/4613/p/… Saya akan kembali dan memposting di sini ketika saya sudah mencobanya.
Peter Ford
2

Anda juga dapat menonaktifkan menjalankan Boot Aman sudo update-secureboot-policy. Ini halaman wiki menjelaskan metode ini.

Ara Pulido
sumber
Terima kasih. Halaman wiki itu juga tampaknya merupakan yang terdekat yang pernah saya lihat dengan konfirmasi resmi bahwa jawaban untuk pertanyaan saya adalah "ya, sengaja". Saya kira "update-secureboot-policy" dijalankan pada mesin saya sebagai bagian dari proses pembaruan, menghasilkan pengalaman yang saya jelaskan dalam pertanyaan saya. Dan untuk beberapa alasan ia gagal menonaktifkan Boot Aman, dan tidak dapat menangani kegagalan itu atau menjelaskan situasinya kepada saya.
Peter Ford
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.