ubuntuusers.de

Bekomme Secure Boot nicht richtig zum laufen

Status: Gelöst | Ubuntu-Version: Ubuntu 24.04 (Noble Numbat)
Antworten |

taker1988

Avatar von taker1988

Anmeldungsdatum:
19. Februar 2019

Beiträge: 86

Wohnort: Deutschland

Hallo, ich habe mir einen kleinen Mini-PC gekauft, auf dem ich Ubuntu installiert habe, da ich mich damit endlich mal mehr befassen möchte. Habe nun auch soweit schon alles hinbekommen. Das Teil läuft, wie ich es brauche/möchte. Allerdings habe ich im Nachhinein gesehen, dass Secure Boot aus war, als ich Ubuntu installierte. Vorher war Windows 11 vorinstalliert (OEM). Als ich Ubuntu installierte, habe ich die SSD mit dem Ubuntuinstaller gelöscht und eben direkt nur Ubuntu installiert.

Das ist der PC: https://www.amazon.de/dp/B0BWNRTJZT?psc=1&ref=ppx_yo2ov_dt_b_product_details&tag=kodinerds04-21

inxi -F - Ausgabe:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
sascha@sascha-Green-G4:~$ inxi -F
System:
  Host: sascha-Green-G4 Kernel: 6.8.0-31-generic arch: x86_64 bits: 64
  Desktop: GNOME v: 46.0 Distro: Ubuntu 24.04 LTS (Noble Numbat)
Machine:
  Type: Desktop Mobo: Trigkey model: Green G4 v: 10
    serial: <superuser required> UEFI: American Megatrends LLC. v: ADLNV104
    date: 07/17/2023
CPU:
  Info: quad core model: Intel N100 bits: 64 type: MCP cache: L2: 2 MiB
  Speed (MHz): avg: 2078 min/max: 700/3400 cores: 1: 700 2: 3096 3: 2392
    4: 2127
Graphics:
  Device-1: Intel Alder Lake-N [UHD Graphics] driver: i915 v: kernel
  Device-2: Razer USA Kiyo Pro driver: snd-usb-audio,uvcvideo type: USB
  Display: wayland server: X.Org v: 23.2.6 with: Xwayland v: 23.2.6
    compositor: gnome-shell driver: dri: iris gpu: i915 resolution:
    1: 2560x1440~60Hz 2: 3840x2160~60Hz
  API: EGL v: 1.5 drivers: iris,swrast
    platforms: wayland,x11,surfaceless,device
  API: OpenGL v: 4.6 compat-v: 4.5 vendor: intel mesa v: 24.0.5-1ubuntu1
    renderer: Mesa Intel Graphics (ADL-N)
Audio:
  Device-1: Intel Alder Lake-N PCH High Definition Audio driver: snd_hda_intel
  Device-2: Razer USA Kiyo Pro driver: snd-usb-audio,uvcvideo type: USB
  API: ALSA v: k6.8.0-31-generic status: kernel-api
  Server-1: PipeWire v: 1.0.5 status: active
Network:
  Device-1: Intel CNVi: Wi-Fi driver: iwlwifi
  IF: wlo1 state: up mac: b0:dc:ef:80:69:16
  Device-2: Realtek RTL8111/8168/8211/8411 PCI Express Gigabit Ethernet
    driver: r8169
  IF: enp1s0 state: up speed: 1000 Mbps duplex: full mac: 7c:83:34:bd:0b:6d
Bluetooth:
  Device-1: Intel AX201 Bluetooth driver: btusb type: USB
  Report: hciconfig ID: hci0 state: up address: B0:DC:EF:80:69:1A bt-v: 5.2
Drives:
  Local Storage: total: 476.94 GiB used: 60.6 GiB (12.7%)
  ID-1: /dev/nvme0n1 model: PCIe SSD size: 476.94 GiB
Partition:
  ID-1: / size: 467.35 GiB used: 60.59 GiB (13.0%) fs: ext4
    dev: /dev/nvme0n1p2
  ID-2: /boot/efi size: 1.05 GiB used: 6.1 MiB (0.6%) fs: vfat
    dev: /dev/nvme0n1p1
Swap:
  ID-1: swap-1 type: file size: 4 GiB used: 0 KiB (0.0%) file: /swap.img
Sensors:
  System Temperatures: cpu: 45.0 C mobo: N/A
  Fan Speeds (rpm): N/A
Info:
  Memory: total: 16 GiB note: est. available: 15.4 GiB used: 4.83 GiB (31.3%)
  Processes: 306 Uptime: 7m Shell: Bash inxi: 3.3.34
sascha@sascha-Green-G4:~$ 

Ich weis nicht wirklich, wie ich das genau machen muss, damit Secure Boot nun funktioniert. Ich habe mal ein paar Bilder angehängt, worauf man sieht, was ich machen kann. Ich glaube, ich muss Secure Boot anschalten (haha 😛), dann die Keys restoren, Enroll EFI Image (welches?) machen und joa...dann sollte es gehen?! Aber wie man auf dem Screenshot von dem hochgefahrenen System sieht, ist nicht alles "OK". Was mache ich denn falsch?

Achja, muss ich wenn das funktioniert, nachträglich in Ubuntu noch selbst irgendwas machen? Stichwort "MOK" ?

Ich hatte vorher einen fast 10 Jahre alten NUC mit Ubuntu bestückt. Dort war Secure Boot vor der Installation von Ubuntu schon an. Da musste ich auch ein Passwort eingeben. Glaube nach der Installation von Ubuntu musste ich dann auf einem blauen Bildschirm irgendwas mit MOK machen und auch mein Passwort einmalig eingeben. Dann ware Secure Boot halt auf dem NUC an.

Falls noch mehr Angaben gewünscht sind, bitte sagen. Und am besten wie, denn ich bin (immer) noch recht neu bei Linux/Ubuntu. ☺

Danke

Bilder

von.wert

Anmeldungsdatum:
23. Dezember 2020

Beiträge: 11444

taker1988 schrieb:

Was mache ich denn falsch?

Du denkst, Du brauchst Secure Boot unter Linux für irgendwas.

STRAGIC-IT

Avatar von STRAGIC-IT

Anmeldungsdatum:
3. Januar 2006

Beiträge: 3312

Wohnort: Fürth

Hallo taker1988, ich würde Dir empfehlen, statt das SECURE BOOT dieser Maschine zu aktivieren und versuchen in dieses BIOS etwas zu integrieren… das System OHNE SECURE-BOOT und ohne irgendeneinen TPM zu betreiben.

Verwende zur Sicherheit besser die Vollverschlüsselung von Linux.

Die Hersteller dieser Geräte erstellen keinen Support und sind fast immer an bestimmte Produktions-/Softwareverträge gebunden usw..

Ich bezeichne diese Systeme, vor allem wegen Support, fehlenden BIOS-Updates, kritische Lücken die nie geschlossen werden usw. in der Zwischenzeit als WEGWERF-PC's.

Es macht keinen Sinn nach einem Problem stundenlang zu suchen, wenn man KEINEN Support bekommt und dann auch noch feststellen muss, dass man das Problem nie im/mit dem Gerät lösen kann. Für mich sind Hersteller, die nicht einmal 3-5 Jahre ihre Systeme pflegen können nur nur UMWELT-SCHÄDLINGE.

Du kannst das benutzen, es wird auch funktionieren, auch zu einem Preis ab 90€ bekommt man das schon… ABER… na ja…

Ich hoffe, dass wirklich zügig die neue Regelung kommt in der Hersteller von Hardware/Software mind. 5-10 Jahre Support geben müssen, wenn sie diese Geräte in die EU schippern und anbieten.

Bye HS

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

... und wenn man nicht Lesen oder Suchen möchte: es gab neulich eine c't Bitrauschen Podcast zum Thema Secure Boot. Da wird erklärt, wie es funktioniert, was die Schwächen und Designfehler sind, warum BIOS Updates wichtig sein können und wie Secure Boot für Linux-Distros funktioniert bzw. was die anderes machen als Windows (Stichwort: Shim).

Gruß, noisefloor

taker1988

(Themenstarter)
Avatar von taker1988

Anmeldungsdatum:
19. Februar 2019

Beiträge: 86

Wohnort: Deutschland

Hallo,

gut, das wusste ich nicht, dass es bei Linux nicht wirklich nötig ist. Dann schalte ich es halt aus. Dann funktionieren wenigstens meine Razer-Produkte, da die verlangen, dass Secure Boot bei Linux aus ist. ☺ Ich dachte nur, dass es wie bei Windows nötig ist. Auch grad weil in Ubuntu extra ein Reiter dafür bei Sicherheit eingebaut ist.

Shim habe ich auch mal irgendwie, irgendwo gelesen. Aber ich kenne mich damit halt echt 0 aus, aber mich würde das ganze Thema trotzdem interessieren.

Aber nur Linux-seitig und nicht Windows-seitig. Da brauche ich es ja alleine schon wegen den Anti-Cheat-Programmen fürs zocken. ^^

Lg

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

du kannst Secure Boot nicht wirklich von Windows trennen, weil die Spez und das Design maßgeblich von Microsoft kommen.

Secure Boot macht dann Sinn, wenn man sicherstellen möchte, dass der Bootloader (bzw. bei Linux die Zwischenschicht in Form des Shim) signiert = nicht kompromittiert ist. Wenn du Secure Boot möchtest und der Rechner eh' gerade erst neu aufgesetzt ist, ist es IMHO am einfachsten, Ubuntu mit aktivierte Secure Boot neu zu installieren.

Ob das nötig ist bzw. du für dich dadurch einen Vorteil siehst musst du selber entscheiden.

Gruß, noisefloor

taker1988

(Themenstarter)
Avatar von taker1988

Anmeldungsdatum:
19. Februar 2019

Beiträge: 86

Wohnort: Deutschland

Ok, vielen Dank. Dann werde ich trotzdem Secure Boot deaktiviert lassen, da ich sonst die Razer Programme nicht verwenden kann. ☺

Lg

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5142

Hallo,

mal unabhängig von der Frage, unter welchen Bedingungen Secure Boot sinnvoll genutzt werden kann, liegt das technische Problem in diesem Fall darin, dass Secure Boot hier nicht richtig aktiviert ist.

Wie man auf Bild 9427605-20240512_074439.jpg erkennen kann, steht die Einstellung Secure Boot zwar auf Enabled, aber der Secure Boot Mode steht auf Custom. Das ist eine häufig anzutreffender Auslieferungszustand bei selbst verbaubaren Mainboards oder Barebones - zu denen diese Mini-PC eigentlich auch zu zählen sind.

Ubuntu ist Secure-Boot-technisch standardmäßig darauf ausgerichtet, dass sich das System - wie bei Rechnern die mit Windows-Logo und vorinstalliertem Windows bzw. OEM-Computern - im Default- bzw. Windows-Mode, oder wie der auch sonst immer herstellerspezifisch bezeichnet sein mag, befinden.

Würde man hier den Secure Boot Mode entsprechend anpassen, dann würde Secure Boot mit den Factory Default Keys aktiviert werden und der Reiter "Gerätesicherheit" in den Einstellungen würde Secure Boot als aktiviert anzeigen.

Die häufige Grundeinstellung bei "Selbstbau"-Mainboards und Barebones mit dem Secure-Boot-Custom-Mode ist recht verwirrend, weil sich das System dabei Secure-Boot-technisch weder richtig im User-Mode noch im Setup-Mode befindet. Das haben die Hersteller IMO recht verwirrend gelöst. Zudem ist der Custom-Mode auch häufig gar nicht oder nur sehr spärlich von den Herstellern dokumentiert.

Normalerweise ist der Custom-Mode dafür gedacht, um als Endanwender die Secure-Boot-Keys aus eigener Hand zu kontrollieren. Das setzt aber voraus, dass man die Factory-Default-Keys löschen muss. Das ist im vorliegenden Fall noch nicht geschehen. Die Factory-Default-Keys lassen sich aber im Secure-Boot-Mode Custom verständlicherweise nicht einfach 1:1 nutzen.

Daher hat man hier dieses schon recht verwirrende Gesamtbild, wobei das verwirrende Element hier die Einstellung Secure Boot = Enabled im Firmwaresetup ist, die auf den ersten Blick zu suggerieren scheint, dass Secure Boot aktiv wäre.

Von Ubuntu aus lässt sich bei einem System mit dem hier vorliegenden Status feststellen, dass

  • Secure Boot tatsächlich deaktiviert ist

    mokutil --sb-state 
  • der Setup-Mode aber auch noch nicht aktiviert ist

    od --address-radix=n --skip-bytes=4 --format=u1 /sys/firmware/efi/efivars/SetupMode-* 
  • sich die Factory-Default-Keys nach wie vor auslesen lassen:

    mokutil --pk
    moktuil --kek
    mokutil --db 

LG, Newubunti

Webmark

Avatar von Webmark

Anmeldungsdatum:
10. Mai 2009

Beiträge: 453

@newubunti

Danke für deinen ausführlichen Beitrag.

Antworten |