ubuntuusers.de

Hallo zusammen,

ich habe Ubuntu 24.04 installiert und alles läuft super. Außer: Nach dem Einschalten und vor der Passworteingabe zur Entschlüsselung der SSD kommt die folgende Fehlermeldung:

• Could not crate MokListRT: Invalid Parameter

• Could not crate MokListXRT: Invalid Parameter

• Could not crate MokListTrustedRT: Invalid Parameter

• Importing MOK states has failde: import_mok_state() failed: Invalid Parameter

• Continuing boot since secure mode is disabled

Gibt es da eine (einfache) Lösung?

Danke schonmal,

schöne Grüße,

Roald

Hallo Roald,

Ja, Secure Boot im EFI disablen .....

Gruss Lidux

Hallo,

Secure Boot ist lt Ausgabe deaktiviert... "Continuing boot since secure mode is disabled".

Gruß, noisefloor

noisefloor schrieb:

Secure Boot ist lt Ausgabe deaktiviert... "Continuing boot since secure mode is disabled".

D.h. wahrscheinlich eher, dass Secure Boot auf Shim-Ebene deaktiviert wurde. Das geht nämlich auch. Dann erhält man beim Starten für gewöhnlich die Meldung

Booting in insecure Mode.

Die Meldung die der TE erhält deuten für mich daraufhin, dass die MOK-Infrastruktur von Shim nicht (vollständig) im NVRAM eingerichtet werden konnte.

Was sagt denn die Ausgabe von

sudo mokutil --sb-state 

?

Und was hast Du für ein Rechner?

Abhilfe könnte gegebenenfalls sein, dass Paket shim-signed zu deinstallieren.

LG, Newubunti

Welche Rechnerdetails sind denn interessant?

Mein Mainboard ist ein Gigabyte H310M S2H 2.0 (ca. 4 Jahre alt). Core-I5-Prozessor, 16GB RAM.

sudo mokutil --sb-state sagt:

SecureBoot disabled
Platform is in Setup Mode

Vorher hatte ich Ubuntu 20.04 auf dem Rechner, da bekam ich keine solche Fehlermeldung.

Danke schonmal,

Roald

Hallo Roald,

Du kannst mal schauen, ob die Firmware Deines Boards auf dem neuesten Stand ist. Die derzeitige Firmware-Version kannst Du mittels

sudo dmidecode -s bios-version && sudo dmidecode -s bios-release-date 

abfragen.

Dein System befindet sich im Secure Boot Setup Mode. Der ist eigentlich nicht als dauernder Betriebs-Modus gedacht, sondern dient dazu, die Kontrolle über Secure Boot als Anwender übernehmen zu können, indem man eigene Schlüssel bzw. Zertifikat im NVRAM hinterlegt. Ob der Setup-Mode alleine ursächlich ist, ob es an der Firmware liegt oder an einer ungünstigen Kombination der Firmware-Einstellungen,

• Windows 8/10 Features

• CSM Support

• Secure Boot

kann ich Dir nicht genau sagen.

Was Du aber auch machen kannst - und ich Deinem Fall empfehlen würde - ist, dass Du die Pakete shim-signed und grub-efi-amd64-signed einfach deinstallierst, wie es in GRUB 2/Konfiguration (Abschnitt „Besonderheiten-bei-UEFI-Boot-Modus“) beschrieben steht.

Anschließend überprüfst Du noch, dass Du nach der Deinstallation der beiden genannten Pakete das Paket grub-efi-amd64 auf Deinem System hast - installierst das gegebenenfalls mittels

sudo apt install grub-efi-amd64 

- und führst dann noch den Befehl

sudo grub-install 

aus. Damit bist Du dann die Secure-Boot-Komponenten Ubuntu-seitig wirklich los und damit auch die Meldungen, dass die Machine-Owner-Key-Infrastruktur (MOKs) nicht richtig eingerichtet werden konnte - was bei Deinem Board aus den oben vermuteten oder sonst welchen Gründen, momentan nicht funktioniert.

Da Du kein Secure Boot nutzen willst und das auch bei nur Ubuntu auf dem Rechner nicht notwendig ist, besteht in der Prozedur keine besondere Gefahr.

LG, Newubunti

Danke für die lange Antwort!

Ich habe mal ein wenig ausprobiert:

• Bios-Update ist ohne Windows nicht möglich (?)

• CSM abschalten: Die Fehlermeldung verschwindet, aber weiterhin: "SecureBoot disabled Platform is in Setup Mode"

• Im BIOS konnte ich die Secure-Boot-Optionen zurücksetzen. Dabei wurde auch im BIOS der Modus von "Setup" auf "enabled" geändert. (Das war ein klein wenig unübersichtlich/kompliziert.)

Nun funktioniert alles. sudo mokutil --sb-state zeigt:

SecureBoot enabled

Vielen Dank nochmal an alle! ☺

Hallo Roald,

Da der Rechner erst 4 Jahre alt sollte / müsste wahrscheinlich auch ein Update der Firmware des EFI über das EFI möglich sein, d.h. kommt auf den Hersteller an.

Ansonsten mit einem Windows Rechner & Windows.iso mit WinToUSB und einem ausreichend großen USBStick / externen Datenträger (ab 64GB) bootbar machen und mit Tool des Herstellers dann EFI aktualisieren.

PS: Auch einen USB Stick mit SG2D.iso, sowie VENTOY Stick immer bereithalten.

Gruss Lidux

Danke für den Tipp!

Es ist übrigens ein neues Problem aufgetreten: VirtualBox funktioniert mit SecureBoot nicht ohne weiteres - das findet man auch in manchen Foren. ☹ Da habe ich wieder eine neue Baustelle...

Roald schrieb:

Es ist übrigens ein neues Problem aufgetreten: VirtualBox funktioniert mit SecureBoot nicht ohne weiteres - das findet man auch in manchen Foren. ☹ Da habe ich wieder eine neue Baustelle...

Du kannst Secure Boot, wenn Du ausschließlich Ubuntu auf dem Rechner installierst, ruhig deaktivieren und dann wie von mir im vorigen Post beschrieben, die beiden Pakete deinstallieren.

Wenn Du das nicht willst, dann kannst Du auch Secure Boot nur auf Shim-Ebene deaktiviern. Das geht mittels

sudo moktuil --disable-validation 

Dabei wirst Du zur Erstellung eines Einmal-Passwortes aufgefordert, was Du nur einmalig beim nächsten Neustart verwenden musst und kannst. Das ist dafür da, um Dich gegenüber dem MOK-Manager zu legitimieren.

Anschließend startest Du den Rechner neu und dann landest Du im MOK-Manager (blauer Bildschirm, mit weißem Text). Dort wirst Du dann nach einzelnen Buchstaben aus dem Passwort, dass Du zuvor erstellt hast gefragt. Jedes Zeichen das Du als Antwort eingibst, musst Du jeweils mit Drücken der Enter-Taste ⏎ bestätigen.

Danach ist Secure Boot auf Shim-Ebene aber nicht in der Firmware des Rechners deaktiviert. Das hat zur Folge, dass ab Übernahme des Startprozesses durch den Shim-Loader, keine Verifizierung der Startkomponenten mehr erfolgt, womit Deine Virtualbox-Kernel-Module starten können.

Bei jedem Start erhältst Du dann die Meldung

Booting in insecure Mode.

Die Alternative wäre die aus meinem vorigen Post, Secure Boot innerhalb der Firmware deaktivieren und die genannten Pakete deinstallieren.

Oder Du spielst noch ein wenig mit der Firmware herum, so dass Du Dein Board grundsätzlich in den Secure Boot User Modus versetzt und dann aber Secure Boot deaktivierst. Das System ist normalerweise dann im Secure Boot Setup Modus, wenn kein PK (Plattformkey) hinterlegt ist.

Ob bei Dir bei aktiviertem Secure Boot Windows-gerechte und damit auch Ubuntu-gerechte Zertifikate in der Firmware installiert sind, kannst Du mittels

moktuil --pk
mokutil --kek
mokutil --db
mokutil --dbx 

anzeigen lassen.

LG, Newubunti