web-dev-qa-db-fra.com

La 3.19.0-65 ​​a-t-elle introduit de nouvelles exigences pour le démarrage sécurisé dans la version 14.04 LTS?

Mon ordinateur portable est venu avec 14.04 (Trusty Tahr) LTS. Depuis lors, je n’ai apporté aucune modification importante et j’applique des mises à jour chaque fois que j'en ai été informé.

Le 2016-07-15, j'appliquais des mises à jour normalement, ou du moins je le pensais. La fenêtre pop-up "Software Updater" était aussi avancée que "Configuration de shim-signed", quand j'ai eu cette "Debconf" pop-up : Screenshot, whose contents are described at length in the accompanying text.

Comme vous pouvez le voir:

  • dit "Configuration de Secure Boot" en gros caractères
  • a un "Désactiver UEFI Secure Boot?" case à cocher (case à cocher)
  • a un bouton "Aide"
  • a un bouton "Forward"

Je n'avais jamais vu ça avant. J'ai cliqué sur le bouton "Aide" avant de prendre la capture d'écran, ce qui a amené la 3ème fenêtre contextuelle que vous pouvez voir.

Texte d'aide

Juste au cas où quelqu'un chercherait une de ces phrases ...

_Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.
_

Étapes suivantes

Si je me souviens bien, ...

  • Après un moment, j'ai accepté de "Désactiver UEFI Secure Boot", puis de cliquer sur le bouton "Transférer".
  • Cela m'a directement conduit à une fenêtre où j'ai créé un mot de passe (en le saisissant deux fois).
  • Le processus de mise à jour s'est terminé normalement, avec une fenêtre contextuelle me demandant quand redémarrer.
  • J'ai redémarré peu après.
  • Pendant le processus de démarrage, un écran bleu affichait quelque chose du type "appuyez sur n’importe quelle touche pour configurer mok".
  • J'ai appuyé sur une touche.
  • Au lieu de me demander de fournir le mot de passe que j'avais configuré 5 minutes plus tôt, comme je m'y attendais, l'ordinateur portable a juste démarré rapidement de la manière habituelle.
  • Je me suis connecté à Ubuntu comme d'habitude.
  • L'adaptateur Wi-Fi ne fonctionnait pas.
  • Je ne pouvais pas démarrer de machines virtuelles VirtualBox. L'erreur était "Pilote du noyau non installé".
  • Divers autres problèmes.
  • J'ai essayé de redémarrer plus d'une fois, mais je n'ai plus jamais vu cet écran bleu "Configurer mok".
  • J'ai noté que mon noyau actuel était 3.19.0-65 ​​
  • J'ai donc redémarré et utilisé grub pour sélectionner 3.19.0-64
  • Tout fonctionnait bien à nouveau.

Mes notes de recherche

Note01 - J'ai regardé dans les paramètres de mon BIOS (pour la première fois sur cet ordinateur portable). Le démarrage sécurisé semble être activé. Si "Debconf" avait réussi à désactiver UEFI Secure Boot, cela aurait-il été reflété dans les paramètres du BIOS?

Note02 - Mon ordinateur portable est un Dell XPS 13 et les autres personnes problèmes de rapports avec 3.19.0-65 ​​sur du matériel Dell.

Note03 - Les instructions de mise à jour pour SN-3037-1 disent de passer à 3.19.0-65. Le dernier paragraphe est:

ATTENTION: En raison d'un changement ABI inévitable, un nouveau numéro de version a été attribué aux mises à jour du noyau. Vous devez donc recompiler et réinstaller tous les modules du noyau tiers que vous avez éventuellement installés. À moins que vous n'ayez désinstallé manuellement les méta-paquets du noyau standard (par exemple, linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), une mise à niveau du système standard effectuera également cette opération.

(Je ne suis qu'un utilisateur et je ne comprends pas vraiment cela. N'obtenons-nous pas toujours un nouveau numéro de version? Et ne devons-nous pas toujours recompiler et réinstaller - un processus géré par DKMS ou quelque chose du genre?)

Note04 - Le journal des modifications de 3.19.0-65.7 présente de nombreux problèmes avec UEFI, notamment des modifications affectant _EFI_SECURE_BOOT_SIG_ENFORCE_ et _CONFIG_EFI_SECURE_BOOT_SIG_ENFORCE_

Note05 - Étant donné que la version de mon noyau est 3.19, je suppose que je dois être sur le _trusty linux-lts-vivid_ pile d'activation LTS (??), conformément au tableau ici , où 3.19.0-65.73 est actuellement la dernière entrée.

Note06 - Il semble qu'une personne se trouvant sur la pile d'activation _trusty linux-lts-wily_ LTS (version 4.2 du noyau) ait peut-être eu les mêmes fenêtres contextuelles, la veille de mon arrivée, mais sans rencontrer de problèmes ultérieurs .

Note07 - Il y a un réponse d'avril 2016 qui dit:

Dans Ubuntu 16.04, Ubuntu commence à appliquer le démarrage sécurisé au niveau du noyau. Avant la version 16.04, Ubuntu ne vous oblige pas vraiment à utiliser les modules de noyau et de noyau signés, même si le démarrage sécurisé est activé.

Est-il possible qu'en juillet 2016, Ubuntu ait introduit de nouvelles exigences en matière de sécurité du démarrage pour 14.04 LTS? Si non, what est le problème que je rencontre avec 3.19.0-65? Et de toute façon, que devrais-je faire (et les autres personnes ayant des problèmes) à ce sujet?

Merci!

10
Peter Ford

Vous pouvez également désactiver Secure Boot avec Sudo update-secureboot-policy. Cette page wiki explique cette méthode.

2
Ara Pulido

Vous avez raison. L'équipe Canonical Kernel Team a activé EFI_SECURE_BOOT_SIG_ENFORCE dans le nouveau noyau 3.19 Ubuntu.

Cela empêche de charger des modules de noyau tiers non signés.

On dirait qu’il existe un script avec une interface graphique qui est censé aider à désactiver le démarrage sécurisé.

Cela n'a pas fonctionné dans votre cas. Cela dépend de la mise en œuvre spécifique de l'UEFI dans votre ordinateur.

Mais vous pouvez simplement désactiver Secure Boot dans vos paramètres UEFI.

Voir cette réponse et commentaires ci-dessous.

2
Pilot6