Ubuntu: "Booten im unsicheren Modus" mit aktiviertem SecureBoot

30

Ich habe gerade Ubuntu 15.10 installiert, nachdem ich einige Zeit mit 16.04 LTS gearbeitet hatte, um es auszuprobieren. Während ich 16.04 verwendet habe, habe ich versucht, Nvidia-Treiber zu installieren. Dabei wurde mir mitgeteilt, dass ich SecureBoot dafür deaktivieren muss. Daher habe ich ein Kennwort angegeben und beim nächsten Neustart nach einer entsprechenden Software gefragt. In meinen BIOS-Einstellungen wurde jedoch weiterhin angezeigt, dass SecureBoot aktiviert ist, und ich konnte weiterhin feststellen, dass SecureBoot dies ablehnte, wenn ich versuchte, von einem nicht signierten System zu starten.

Wenn ich Ubuntu 15.10 neu installiere (alles, was mit 16.04 zu tun hat, einschließlich grub in der EFI-Partition, vollständig lösche), erhalte ich jedoch jedes Mal eine Booting in insecure modeMeldung , wenn ich boote .

Ich habe alles überprüft und beides: Windows und die BIOS-Einstellung melden, dass SecureBoot aktiviert ist

vagaerg
quelle
Bei einem HP EliteDesk 705 ist mir etwas Ähnliches begegnet, aber ich habe es noch nicht vollständig untersucht. Welchen Hersteller und welches Modell haben Sie und um welche Marke von EFI handelt es sich? (Bei der Eingabe dmesg | grep -i efisollte eine Ausgabe mit EFI-Informationen erfolgen. In einer der ersten Zeilen sollte der Hersteller des EFI wie in angegeben angegeben sein efi: EFI v2.31 by American Megatrends.)
Rod Smith
Dies ist ein MSI GS60-Laptop, und der EFI ist auch von American Megatrends. Ich finde es seltsam, wie das auch bei aktiviertem Secure Boot geschieht
vagaerg

Antworten:

38

Wenn Sie die Meldung zu Insecure Boot entfernen möchten, müssen Sie Secure Boot aktivieren. Dazu müssen Sie die Validierung im Modul MOK (Machine Owner Key) einschalten:

sudo mokutil --enable-validation

Sie werden aufgefordert, zweimal ein temporäres Kennwort einzugeben, und erhalten dann nach dem Neustart die Möglichkeit, den Überprüfungsstatus zu ändern.

Wenn die Validierung aktiviert ist, wird keine Meldung über unsicheren Start mehr angezeigt. Denken Sie jedoch daran, dass Sie keine nicht signierten Treiber ausführen können: nVidia-Treiber und VirtualBox funktionieren nicht.

So deaktivieren Sie den Überprüfungstyp:

sudo mokutil --disable-validation

und dann neu starten.

Wenn Sie die Validierung deaktivieren und im BIOS Secure Boot aktiviert haben, können Sie immer noch nichts booten, was nicht signiert ist. Obwohl Ihr Ubuntu über eine deaktivierte Validierung verfügt, wird diese vom BIOS (UEFI) aufgrund des Shim-signierten Pakets als signiert "gesehen". Shim-Paket überprüft beim Booten Ihres Ubuntu den MOK-Status und zeigt bei deaktivierter Validierung die Meldung "Booten im unsicheren Modus" an.

Peter
quelle
1
@ Peter Ich kann jetzt den nvidia-eigenen Treiber mit deaktivierter Validierung und eingeschaltetem Secure Boot in der UEFI ausführen.
Sawablo
Virtualbox arbeitet hier mit aktivierter Validierung.
omisson
Sie können jedes proprietäre oder selbst kompilierte Kernelmodul mit aktivierter Validierung ausführen, wenn Sie es selbst signieren und Ihren Signaturschlüssel als MOK registrieren . Siehe askubuntu.com/a/797442/12049
ssice