Wie verstehe ich die Installation von Ubuntu UEFI Secure Boot?

19

Welche speziellen Anweisungen müssen Sie nach der Unterstützung von Secure Boot befolgen, um Ubuntu auf einem UEFI Secure Boot-fähigen PC zu installieren, der mit Windows 8 geliefert wird?

Soweit ich weiß, wird Ubuntu> = 12.04.2 mit signiertem GRUB2 ausgeliefert. Ich habe gesucht, komme aber nicht über die Anweisung "supported" hinaus. Ich suche nach spezifischen Anweisungen zum Registrieren von Ubuntu-Schlüsseln, um die Firmware von Ubuntu starten zu lassen.

AKTUALISIEREN:

Vielen Dank. SecureBoot in Ubuntu 12.10 gibt mir die Antwort. Der Ubuntu EFI-Bootloader der ersten Stufe ist von Microsoft signiert . Als ich das letzte Mal gelesen habe, hatte Ubuntu vor, einen eigenen Schlüssel zu veröffentlichen, der vor der Installation in der Firmware-Datenbank registriert werden musste. Vielleicht habe ich die Geschichte nicht lange genug verfolgt, um zu erkennen, dass dies nicht mehr der Fall ist.

Vielfraß
quelle
2
Verwandte (aber wahrscheinlich kein Duplikat, dies ist eine allgemeine praktische Frage zur Installation von Ubuntu auf einem Windows 8-Computer, während die Antworten hier Hintergrundinformationen enthalten, "Secure Boot" usw. erläutern): Installation von Ubuntu auf einer vorinstallierten UEFI Unterstützte Windows 8-System
Eliah Kagan

Antworten:

12

Beginnen Sie wahrscheinlich hier: help.ubuntu.com/community/UEFI

UEFI (~ EFI) ist eine Firmware-Schnittstelle, die auf neueren Computern verbreitet ist, insbesondere auf Computern, die älter als 2010 sind. Sie soll die herkömmliche BIOS-Firmware-Schnittstelle ersetzen, die auf früheren Computern vorherrscht. Diese Seite enthält Informationen zum Installieren und Booten von Ubuntu mit EFI sowie zum Umschalten zwischen EFI-Modus und Legacy-BIOS-Modus mit Ubuntu.


AKTUALISIEREN:

Ubuntu 12.10 soll mit Secure Boot verwendet werden können .

Softpedia (Sep-2012) >> Canonical enthüllt Pläne für Ubuntu 12.10 Secure Boot

Canonical kündigte über Jon Melamut am 20. September an, die Unterstützung für Secure Boot im kommenden Ubuntu 12.10-Betriebssystem (Quantal Quetzal) zu implementieren.

Nach einer Diskussion mit Free Software Foundation entschied sich Canonical daher, die EFILinux-Bootloader-Implementierung zugunsten des mit eigenen Schlüsseln signierten GRUB2-Bootloaders fallen zu lassen. ..

Muktware (Okt-2012) >> SecureBoot In Ubuntu 12.10

Ubuntu 12.10 ist die erste Distribution, die standardmäßig die Secure Boot-Architektur unterstützt. Canonical-Entwickler haben viel Zeit darauf verwendet, sicherzustellen, dass Ubuntu auf der gesamten Hardware einwandfrei und ohne Probleme läuft. Steve Langasek, ein Ubuntu-Entwickler, hat in seinem Blog einen guten Bericht darüber veröffentlicht, wie Secure Boot unterstützt wird.

schließt mit ..

Langasek sagt, dass sie den sicheren Bootmechanismus auch auf Ubuntu 12.04 zurückportieren werden, so dass die LTS-Version in Secure Boot-Geräten installiert werden kann. Das nächste große Service Pack von Ubuntu Precise (12.04.2) wird daher die Unterstützung von SecureBoot beinhalten.

david6
quelle
2
Danke für die Antwort. Ich habe diesen Artikel gelesen. Meine Frage bezieht sich nicht auf UEFI. Es ist UEFI mit Secure Boot. Nirgendwo in diesem Artikel wird erwähnt, wie mit einem PC mit sicherem Start umgegangen werden soll. Können Sie mich auf eine Ressource verweisen, die mir bei der Installation von Ubuntu auf einem sicheren, bootfähigen PC hilft?
Wolverine
6

Auf einigen Computern, insbesondere auf Laptops, ist ein Problem aufgetreten. Der öffentliche Schlüssel "Microsoft Windows UEFI Driver Publisher" scheint nicht in ihrem BIOS installiert zu sein, damit der signierte Ubuntu-Bootloader (und andere UEFI-Software wie unsere) ausgeführt werden können mit aktivierter Secure Boot-Option. Dies ist NICHT derselbe Schlüssel, den Microsoft zum Signieren seines eigenen UEFI-Windows-Boot-Managers verwendet, und es scheint, dass einige BIOS-Implementierungen nur diesen exklusiven öffentlichen Schlüssel von Microsoft verwenden .

Die Lösung ist entweder:

  1. Microsoft muss UEFI-Binärdateien von Drittanbietern mit demselben Schlüssel signieren, den sie für ihren eigenen Bootloader verwenden.

  2. Damit BIOS-Hersteller / Computerhardware-Motherboard-Hersteller sicherstellen können, dass sie die Daten enthalten, damit mit "Microsoft Windows UEFI Driver Publisher" signierte Binärdateien ordnungsgemäß funktionieren.

Geben Sie auf einem Windows 8-Computer Mountvol Z: /Seine Eingabeaufforderung mit Administratorrechten ein. Führen Sie dann in der Eingabeaufforderung Folgendes aus:

copy Z:\EFI\Microsoft\*.efi    C:\test

Wo Zist ein unbenutzter Laufwerksbuchstabe?

Anschließend können Sie C:\testdie digitalen Signaturen in den Microsoft .efi-Dateien im (bereits erstellten) Ordner einchecken und feststellen, dass sich der Name des Schlüssels von dem unterscheidet, den sie zum Signieren des Ubuntu-Bootloaders verwendet haben.

Die Ubuntu-Startdateien befinden sich in X: \ EFI \ Boot, wobei X der CD-Laufwerksbuchstabe ist.

Dies muss aussortiert und schnell sortiert werden.

Unsere Forschung zeigt, dass von den bisher getesteten Laptops nur ASUS-Laptops die richtigen Schlüssel in ihrem BIOS installiert haben, aber wir haben es noch nicht geschafft, alle zu überprüfen. Ich erwähne hier nicht die Namen von Maschinen, die nicht funktionieren, aber einer ist dem ähnlich, der es tut!

Shaun Hollingworth
quelle
1
Es scheint, dass ThinkPads die richtigen Schlüssel haben.
Nhinkle
1

Habe vor sechs Monaten eine ähnliche Frage gestellt und da der Kernel nicht geladen werden konnte, wurde ein alternatives Nicht-Linux-Betriebssystem installiert, um zu beweisen, dass meine Firmware und Hardware zumindest wie erwartet funktionierten. Die Absicht war, dass diese neue Hardware meine erste sein sollte, die Windows noch nie gesehen hatte, also vielleicht das nächste Mal ...

Seitdem ich versucht habe, die EFI-Funktionen meiner neuesten Hardware zu nutzen, habe ich einige Zeit auf diesen sehr nützlichen Seiten verbracht. Darin ist eine gute Übersicht darüber enthalten, wie eine Ubuntu-Installation auf einem Secure Boot-fähigen Computer durchgeführt wird, und es sind andere Optionen hervorzuheben außer sich auf Grub2 und signierte Schlüssel von Microsoft zu verlassen. Was der Link in Deiner Update-Frage als das A und O anzeigt. Ich dachte nur, dass dies nicht der Fall ist. Wie der letzte Link in diesem Abschnitt zeigt, können Sie mit rEFInd und Ihren eigenen Schlüsseln eine Linux-Installation mit aktiviertem Secure Boot verwalten. Welches ist eine der vielen genannten Optionen, wenn nicht im Detail beschrieben. Ich hoffe, Sie genießen die Lektüre so sehr wie ich!

Die Alternative besteht darin, Secure Boot auszuschalten. Ich persönlich würde zumindest die von LovinBuntu kurz und süß beschriebene Methode ausprobieren.

Eine weitere nützliche Quelle für hilfreiche Informationen zu U / EFI ist der Wiki-Artikel hier . Hiermit werden die Windows 8-Anforderungen beschrieben und spezifiziert. UEFI> = 2.3.1 (die neueste Version ist 2.4) und Secure Boot sind ab der UEFI-Spezifikation> = 2.2 verfügbar.
(Auf der verlinkten Wiki-Seite befindet sich ein Link zu einer ähnlichen Seite EUFI-Seite, die mir keine Angst macht! Science Fiction ist keine Fiktion!: p)

Noch ein paar Links zum Lesen:

Geezanansa
quelle