3.19.0-65是否向14.04 LTS引入了新的安全启动要求?


10

我的笔记本电脑随附14.04(Trusty Tahr)LTS。从那时起,我没有进行任何重大更改,并且每当收到通知时,我就一直在应用更新。

在2016年7月15日,我像往常一样应用更新,所以我想。当我得到这个“ Debconf”弹出窗口时,“ Software Updater”弹出窗口已达到“ Configure shim-signed” : 屏幕截图,其内容在随附的文本中进行了详细描述。

如您所见:

  • 用大字体显示“配置安全启动”
  • 有“禁用UEFI安全启动?” 勾选框(复选框)
  • 有一个“帮助”按钮
  • 有一个“转发”按钮

我以前从未见过。在截屏之前,我单击了“帮助”按钮,弹出了您可以看到的第三个弹出窗口。

帮助弹出文字

以防万一有人搜索这些短语中的任何一个...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

后续步骤

如果我没记错的话...

  • 一段时间后,我同意“禁用UEFI安全启动”,然后单击“转发”按钮。
  • 这直接将我带到设置密码的窗口(输入两次)。
  • 更新过程以正常方式完成,并弹出一个对话框,询问我何时重新启动。
  • 我不久后重新启动。
  • 在启动过程中,有一个蓝屏,上面写着“按任意键配置mok”之类的内容。
  • 我按了一个键。
  • 笔记本电脑没有像我期望的那样被要求提供我5分钟前设置的密码,而是以正常方式快速启动。
  • 我正常登录到Ubuntu。
  • Wi-Fi适配器无法正常工作。
  • 我无法启动VirtualBox VM。错误是“未安装内核驱动程序”。
  • 各种其他问题。
  • 我多次尝试重新启动,但是再也没有看到蓝色的“ configure mok”屏幕。
  • 我注意到我当前的内核是3.19.0-65
  • 所以我重新启动并使用grub选择3.19.0-64
  • 一切再次恢复正常。

我的研究笔记

注意01-我在我的BIOS设置中进行了查找(这是该笔记本电脑上的第一次)。安全启动似乎已启用。如果“ Debconf”已成功禁用UEFI安全启动,那是否已在BIOS设置中得到反映?

注意02-我的笔记本电脑是Dell XPS 13,其他人报告 Dell硬件上的3.19.0-65 问题

注意03- USN-3037-1的更新说明说要升级到3.19.0-65。最后一段是:

注意:由于不可避免的ABI更改,内核更新已被赋予新的版本号,这要求您重新编译并重新安装您可能已安装的所有第三方内核模块。除非您手动卸载了标准内核元软件包(例如linux-generic,linux-generic-lts-RELEASE,linux-virtual,linux-powerpc),否则标准系统升级也将自动执行。

(我只是一个用户,我不太了解这一点。我们不是总会得到一个新的版本号吗?我们是否也不必总是重新编译并重新安装-由DKMS管理的进程还是其他?)

注意04-3.19.0-65.73的变更日志有许多UEFI问题,包括影响EFI_SECURE_BOOT_SIG_ENFORCECONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Note05 -因为我的内核版本是3.19,我想我一定是在trusty linux-lts-vivid LTS启用堆栈(??),按表在这里,在这里3.19.0-65.73是目前最新的条目。

注意06-似乎在trusty linux-lts-wilyLTS启用堆栈(内核版本4.2)上的某人可能在我前一天有相同的弹出窗口,但没有遇到任何后续问题

注意07- 2016年4月有一个答案,其中包括:

在Ubuntu 16.04中,Ubuntu开始将安全启动强制执行到内核级别。在16.04之前,即使您已启用安全启动,Ubuntu并没有真正要求您使用签名的内核和签名的内核模块。

难道就是现在,在2016年7月,Ubuntu向14.04 LTS引入了新的安全启动要求? 如果没有,什么我与3.19.0-65遇到的问题?无论哪种方式,我(以及其他有问题的人)应该怎么做?

谢谢!


1
+1仅针对您在此问题中投入的工作量和信息量。逐步说明发生的一切。我认为这是一个好问题。
Parto

1
我就是那个人(注6)。这归结为三种选择:关闭安全启动(相当容易),失去第三者驱动程序功能(不可接受)或自己签署驱动程序(超级复杂)。该系统试图帮助您关闭安全启动,但在您的情况下不起作用...在我的系统中确实如此。
有机大理石

Answers:


2

你是对的。Canonical Kernel Team已在新的3.19 Ubuntu内核中启用EFI_SECURE_BOOT_SIG_ENFORCE。

这样可以防止加载未签名的第三方内核模块。

似乎有一个带有GUI的脚本,该脚本应有助于禁用安全启动。

在您的情况下,它不起作用。这取决于计算机中特定的UEFI实施。

但是您只需在UEFI设置中禁用安全启动即可。

请参阅下面的答案和评论。


谢谢。链接的答案提到“ mokutil --disable-validation”作为选项。首先值得我尝试吗?还是自己签署模块?(或者是我必须自己研究和决定的事情;保持启用安全启动有多少好处?)
彼得·福特

最简单的方法是禁用安全启动并使其保持禁用状态。愚蠢的Microsoft安全启动功能没有任何好处。
飞行员

禁用安全启动也是Dell推荐的解决方案:en.community.dell.com/techcenter/os-applications/f/4613/p/…尝试过后,我会回过头贴在这里。
彼得·福特

2

您也可以禁用安全启动运行sudo update-secureboot-policy。该Wiki页面介绍了此方法。


谢谢。该Wiki页面似乎也是我所看到的最接近官方确认的答案,即我的问题的答案是“是的,故意”。我猜想“ update-secureboot-policy”作为更新过程的一部分在我的机器上执行,从而产生了我在问题中描述的体验。由于某种原因,它无法禁用安全启动,并且无法处理该故障或无法向我解释情况。
彼得·福特
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.