Unterstützt Buster Secure-Boot?

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Unterstützt Buster Secure-Boot?

Beitrag von Blue » 16.11.2018 18:06:43

In Buster habe ich (im Gegensatz zu Stretch) das Paket "shim-signed" gesehen.
Bedeutet das, dass man unter Buster Mainboards neuer PC`s unter Debian bei eingeschaltetem "Secure-Boot" Booten kann?
Zuletzt geändert von Blue am 19.12.2018 13:35:53, insgesamt 2-mal geändert.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1298
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Unterstützt Buster Secure-Boot?

Beitrag von spiralnebelverdreher » 21.11.2018 22:55:21

Es war letzthin ein Artikel in der ct über Linux und UEFI. Dort habe ich gelesen, dass ab debian 10 ein Secure Boot unterstützt.
Einschränkung ist (wie bei anderen Distris auch), dass du deinen Kernel nicht selbst baust, sondern aus den debian Quellen beziehst. Damit haben alle Nutzer ein Problem, die proprietäre Grafiktreiber in ihren Kernel integrieren.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Unterstützt Buster Secure-Boot?

Beitrag von Lohengrin » 22.11.2018 02:45:53

spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
21.11.2018 22:55:21
Damit haben alle Nutzer ein Problem, die proprietäre Grafiktreiber in ihren Kernel integrieren.
Ist das nötig? Was ist, wenn der als Modul nachgeladen wird?
Harry, hol schon mal das Rasiermesser!

pferdefreund
Beiträge: 3799
Registriert: 26.02.2009 14:35:56

Re: Unterstützt Buster Secure-Boot?

Beitrag von pferdefreund » 22.11.2018 09:33:59

Ich dachte auch, dafür gibt es DKMS. Da wird doch nur das Modul kompiliert und der eigentliche Kernel bleibt unangetastet.

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 22.11.2018 09:44:25

Eure Antworten sind sicher gut gemeint und fachlich kompetent, aber ich kann als IT-Laie damit nichts anfangen.

Meine simple Frage ist, ob ich Buster auf einem neuen PC mit aktiviertem Secure-Boot problemlos installieren kann.
Zunächst wäre eine "Ja" oder "Nein" oder "nicht ganz so einfach" etc. wie es "spiralnebelverdreher" getan hat für mich hilfreich.

Benutzeravatar
habakug
Moderator
Beiträge: 4314
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Unterstützt Buster Secure-Boot?

Beitrag von habakug » 22.11.2018 09:52:36

Hallo,

in dem Skript update-secureboot-policy aus Debianshim-signed:

Code: Alles auswählen

new_dkms_module()
{
    # handle nvidia module specially because it changed path
    if ! grep -q "/var/lib/dkms/nvidia" "$OLD_DKMS_LIST" && grep -q "/var/lib/dkms/nvidia" "$NEW_DKMS_LIST" ; then
        # nvidia module is newly added
        return 0
    fi
In Debian scheint allerdings noch Version 1.28 zu sein, während in Ubuntu schon Version 1.39 [1] am Start ist.
changelog.Debian.gz hat geschrieben:shim-signed (1.28) unstable; urgency=medium

* Initial Debian upload, based on Ubuntu package.

-- Steve Langasek <vorlon@debian.org> Fri, 14 Apr 2017 21:44:06 +0000
Gruss, habakug

[1] https://launchpad.net/ubuntu/+source/shim-signed/1.39
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 22.11.2018 12:55:02

Dieser Thread dürfte gerade für "Neu-Umsteiger" von Windows zu Linux interessant sein, da die vielen (offensichtlich veralteten) "Uefi-Threads" sie verwirren können.

Kann ich dann Eure Beiträge folgendermaßen zusammenfassen: (?)

1. Man kann auf einem neuen PC mit Uefi und secure-boot mittlerweile Debian in der Version Buster installieren?
2. Das geht aber nur, wenn der Debian-Grafiktreiber benutzt wird und nicht ein proprietärer Grafiktreiber?
3. Es verbleibt meine Frage, ob man im Uefi die "Schnell-Boot-Option", wie in manchen Threads empfohlen, zur Buster-Installation deaktivieren muß?

Ein kurzes "Abnicken" oder Berichtigen wärevon Euch nett.
Zuletzt geändert von Blue am 22.11.2018 22:24:57, insgesamt 1-mal geändert.

Benutzeravatar
habakug
Moderator
Beiträge: 4314
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Unterstützt Buster Secure-Boot?

Beitrag von habakug » 22.11.2018 15:21:56

Hallo,

1. Nein
2. Nein
3. Ja

In Buster sind noch die Debianefitools Version 1.4.2. Man muss sich die Version 1.8.1 aus dem Git kompilieren [1].
Um die Komplexität zu verstehen lohnt ein Blick in das Debian-Wiki [2].

Gruss, habakug

[1] http://www.fit-pc.com/wiki/index.php/Linux:_Secure_Boot
[2] https://wiki.debian.org/SecureBoot
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 22.11.2018 22:25:44

@habakug: Thx! :THX:

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 24.11.2018 13:35:33

Für Alle, welche eine ähnliche Fragesellung wie ich haben, finde ich diesen Thread für sehr hilfreich: https://forum.ubuntuusers.de/topic/secu ... dekativie/

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Unterstützt Buster Secure-Boot?

Beitrag von Lohengrin » 24.11.2018 15:46:51

Was spricht dagegen, SecureBoot abzuschalten?

Ob SecureBoot abschaltbar sein muss und wie kompliziert es ist, dieses abzuschalten, lenkt vom wichtigen Punkt ab.
Wenn ich es nicht abschalten kann, dann ist für mich der Rechner unbenutzbar. Egal wie billig der Rechner ist, und wie bedauerlich das ist.
Ein freies Betriebssystem, das SecureBoot-tauglich ist, ist ein Hack. Da hat sich einer bemüht, das Gerät, das er verkauft, so zuzunageln, dass darauf kein freies Betriebssystem laufen kann, und jetzt sucht man nach einem Weg, das Zugenagel wieder aufzubrechen.
Besser wäre es, durch den Kauf von Geräten, die Hersteller zu unterstützen, die ihr Gerät nicht zunageln.
Harry, hol schon mal das Rasiermesser!

DeletedUserReAsG

Re: Unterstützt Buster Secure-Boot?

Beitrag von DeletedUserReAsG » 24.11.2018 16:32:23

Kann man bei SecureBoot immer noch keine eigenen Schlüssel hinterlegen und mitgelieferten Kram löschen? Dann wär’s nämlich wieder recht interessant, man könnte das System selbst zunageln.

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 24.11.2018 17:12:56

@Lohenkrin:
Ich bin völlig Deiner Meinung.
Für einen neuen PC gibt man eine Menge Geld aus und es ist in meinen Augen unzulässig, dass ein Produzent eines Betriebssystems von den Hardwareherstellern dermaßen weitgehende Vorgaben fordern kann. Immerhin wurde "vereinbart", dass das Secure-Boot abschaltbar sein muß. Anfangs war das über das Bios mit einem einfachen Stellknopf möglich, was von einem Casual User aber auch schon zu viel verlangt ist. Mittlerweile muß man bei einigen Mainbaords richtige Winkelzüge anstellen, um die Funktion zu deaktivieren. Warum das so ist, da kann ich nur in Umkehrung des Spruchs "honi soit qui mal y pense", "Schande über den, der zu naiv darüber denkt" sagen. Ich selbst bin in Versuchung, mir das Geschwurbel zu ersparen und eben bei Windows zu bleiben. Und unsere Politiker haben meiner Meinung nach extremen Nachholbedarf in punkto IT-Wissen, oder...
Besser wäre es, durch den Kauf von Geräten, die Hersteller zu unterstützen, die ihr Gerät nicht zunageln.
In Prinzip hast Du recht, das wäre der Weg über die - vom Mainstream gar nicht oder falsch genutzte - Macht des Verbrauchers im Neoliberalismus. Ein anderer Weg wäre, unsere Politiker zu fordern, hier gezielter zu Regulieren. Aber auch an dieser Stelle denke ich mittlerweile an Dantes Spruch "laßt fahren alle Hoffnung" über dem Eingang zur Hölle.

@niemand:
Kann man bei SecureBoot immer noch keine eigenen Schlüssel hinterlegen und mitgelieferten Kram löschen? Dann wär’s nämlich wieder recht interessant, man könnte das System selbst zunageln.
Das geht halt nicht.
Wenn man schon so etwas wie "Secure-Boot" einführt, dann müssen die Benutzerbetriebssysteme natürlich erst von einer Zertifizierungsstelle zugelassen werden, sonst besteht im Prinzip gar keine Sicherungsfunktion mehr und das Ganze ist völlig überflüssig. Aber wenn man die vorhandenen Zertifizierungsschlüssel löscht (vorher auf einem USB-Stick sichern, um die Option der "Rückkehr" zur Ausgangskonfiguration zu erhalten), verschwindet der ganze Zauber und man hat einen "normalen" PC - wie früher. Also handelt es sich typischerweise irgendwie wieder um eine Art "Opt-Out" :roll: .

Auch sollten solche Zertifizierungen sowie Generalanmeldungsmöglichkeiten per Konto (siehe Microsoft und Google) in (dann aber kompetenter) öffentlicher und damit etwas kontrollierbarer Hand liegen und nicht bei extrem großen komerziellen Playern, welche naturgemäß wenig mit demokratischen Kontrollmechanismen ("checks and balances") zu tun haben
Zuletzt geändert von Blue am 24.11.2018 18:09:23, insgesamt 3-mal geändert.

DeletedUserReAsG

Re: Unterstützt Buster Secure-Boot?

Beitrag von DeletedUserReAsG » 24.11.2018 17:44:51

Schade, dass es nicht geht, aber:
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:12:56
Wenn man schon so etwas wie "Secure-Boot" einführt, dann müssen die Benutzerbetriebssysteme natürlich erst von einer Zertifizierungsstelle zugelassen werden, sonst besteht im Prinzip gar keine Sicherungsfunktion mehr und das Ganze ist völlig überflüssig.
Die Zertifizierungsstelle wäre in dem Fall der lokale Admin. Damit ist nix verkehrt, das ist keine valide Ausrede, um’s nicht einzubauen.

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 24.11.2018 17:51:05

@niemand:
Die Zertifizierungsstelle wäre in dem Fall der lokale Admin.
Sehe ich auch so.
Ich wollte nur gaaanz fair und neutral bewerten.
Im Internet findest Du dann hochverquaste Argumentationsfiguren dazu, dass das Vorgehen mit Key doch sicherer sei.
Ich erspare uns Quellenangaben, weils aus meiner Sicht sowieso Schmonzes ist.
Die "Sicherheitsfunktion" des Secure-Boot halte ich zudem angesichts anderer, nach wie vor vorhandener scheunentorgroßer Sicherheitslöcher, für generell albern.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Unterstützt Buster Secure-Boot?

Beitrag von Lohengrin » 24.11.2018 19:54:21

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:12:56
es ist in meinen Augen unzulässig, dass ein Produzent eines Betriebssystems von den Hardwareherstellern dermaßen weitgehende Vorgaben fordern kann.
Fordern kann er viel. Wenn er es übertreibt, ist das ein wirtschaftlicher Nachteil.
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:12:56
Ich selbst bin in Versuchung, mir das Geschwurbel zu ersparen und eben bei Windows zu bleiben.
Ich war auch schon in Versuchung, mir ein Kleingerät zu kaufen, das nur mit Windows läuft. Ich hätte es aber nur da gebraucht, wo es für mich vorteilhaft gewesen wäre, zB auf Reisen, um unter dem Banyanenbaum der Versenkung zu pflegen. Ich habe es mir nicht gekauft, weil das mit dem Banyanenbaum nur so selten vorkommt. Das hätte bei mir nutzlos im Schrank gelegen, direkt neben Geigerzähler, Nachtsichtgerät und dergleichen.
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:12:56
Ein anderer Weg wäre, unsere Politiker zu fordern, hier gezielter zu Regulieren.
Das will ich nicht. So etwas hat bisher immer zu mehr Schaden als Nutzen geführt.
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:12:56
@niemand:
Kann man bei SecureBoot immer noch keine eigenen Schlüssel hinterlegen und mitgelieferten Kram löschen? Dann wär’s nämlich wieder recht interessant, man könnte das System selbst zunageln.
Das zB würde mit der gezielten Regulierung durch Politiker gleich mit verboten werden.
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
24.11.2018 17:51:05
Die "Sicherheitsfunktion" des Secure-Boot halte ich zudem angesichts anderer, nach wie vor vorhandener scheunentorgroßer Sicherheitslöcher, für generell albern.
Ich wüsste gerne, wieviele von den Bösen(TM) schon den geheimen Schlüssel von Microsoft haben.
Harry, hol schon mal das Rasiermesser!

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 17.12.2018 12:55:40

Nachdem ich mich dazu aufgerafft hatte, das "Secure-Boot" auf meinem Asus-Mainboard zu deaktivieren, habe ich Debian-Buster auf der internen SSD installiert.
Soweit funktioniert auch Alles reibungslos.

Meine zweite interne Festplatte (HDD), welche der Datenspeicherung dient, erscheint, läßt sich aber nur nach Eingabe des Root-Rechts einhängen und öffnen.
Ist das "normal", beziehungsweise wie kann ich erreichen, dass es beim Systemstart sich automatisch ohne Root-Nachfrage einhängt?
Erwähnen sollte ich, dass ich beim ersten Installationsversuch diese HDD-Festplatte irrtümlich ausgesucht, dann aber den Installationsvorgang abgebrochen habe, um Buster in einem zweiten Anlauf auf der SSD zu installieren.
Habe ich diese Festplatte ( / dev/sdb1 mit Fat) falsch formattiert?

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 17.12.2018 13:08:58

Das "Problem" hat sich erledigt. :facepalm:
Ich mußte einfach nur die Datenträgereinstellungen richtig vornehmen.

Wenn ich schon dabei bin, möchte ich tagebuchartig berichten:
- Die Art, wie Asus das Deaktivieren des Secure-Boots verkompliziert hat, ist imho völlig inakzeptabel. Ich habe im Web dazu nur einen Hinweis gefunden (siehe ein Post von mir oben), der ist aber gut. Asus selbst gibt dazu in der zum Mainboard mitgelieferten Broschüre dazu keinerlei Anleitungen!
- Und die Rechnung ging selbst bei mir (selbst, weil ich Debian heiß und innig liebe) auf. Zwei Wochen lang habe ich an Windows-10 herumgefummelt und Debian stiefväterlich nur virtualisiert (VMware) verwendet. Ich hatte einfach Bedenken, dass auf meinem PC gar nichts mehr läuft, wenn ich einen Fehler mache. Dann hat es mir aber gereicht und ich habe spätnachts kurzentschlossen das Secure-Boot gekillt und Buster als alleiniges Betriebssystem installiert.
- Jetzt arbeite ich wieder zufrieden mit meinem PC und muß nicht mehr dulden, dass irgendwelche Programme (eigentlich Adware) und Einstellungen unausrottbar ihr Untermieterdarsein führen dürfen.

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 17.12.2018 15:32:47

Ich habe mich zu früh gefreut: Nach wie vor kann ich die Festplatte nur nutzen, wenn ich mich als Root legitimiere.
Ich möchte die Festplatte aber freigeben.
Kann ich das ändern und wie?

Vielen Dank für Ratschläge im Vorraus.

Benutzeravatar
towo
Beiträge: 4543
Registriert: 27.02.2007 19:49:44
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von towo » 17.12.2018 15:42:32

Ich möchte die Festplatte aber freigeben.
Dann schreib sie in die fstab!

Benutzeravatar
Blue
Beiträge: 1550
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von Blue » 17.12.2018 15:54:32

Dann schreib sie in die fstab!
Wie geht so Etwas genau.
Ich wäre Dir sehr verbunden, wenn Du mir ein HowTo für Anfänger geben könntest.

Benutzeravatar
towo
Beiträge: 4543
Registriert: 27.02.2007 19:49:44
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Unterstützt Buster Secure-Boot?

Beitrag von towo » 17.12.2018 15:58:39


Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Unterstützt Buster Secure-Boot?

Beitrag von Lohengrin » 17.12.2018 16:01:36

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
17.12.2018 15:54:32
Dann schreib sie in die fstab!
Wie geht so Etwas genau.
Ich wäre Dir sehr verbunden, wenn Du mir ein HowTo für Anfänger geben könntest.
Ich weiß nicht, was bei dir in /etc/fstab steht.
Schau dir die Datei an, und lese man fstab! Es ist nicht sonderlich kompliziert.
Wenn da bei dieser Platte noauto steht, dann mach das weg.
Harry, hol schon mal das Rasiermesser!

scientific
Beiträge: 3022
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Unterstützt Buster Secure-Boot?

Beitrag von scientific » 17.07.2019 23:36:59

Was secureboot anbelangt...

Ich hab mir die Mühe gemacht und ein kleines Script geschrieben, mid dem kann ich sowohl ein Key-Pair erzeugen und es gleich direkt ins UEFI schreiben, und andererseits vorhandene Module damit signieren, damit diese auch geladen werden können, wenn Secureboot aktiv ist.

Ihr findet das Script hier
https://github.com/xundeenergie/secureboot_modulsign

README und help ist alles mit dabei. Wichtig ist, die beiden Dateien des Keypairs gut aufzubewahren!!
Ich hab damit auf meinem Firmenlaptop ein Dualboot mit Windoof 10 mit Bitlocker und Fedora realisiert. Leider ist Fedora nicht ganz so stabil, wie ich hoffte... Und da ja jetzt Buster secureboot können sollte, überlege ich stark wieder zu Debian zurückzukehren... Der Grund, warum ich Fedora nahm war ja das fehlende Secureboot, was aber zwingend Notwendig ist, damit der Laptop mit Win10 im Dualboot mit Bitlocker überhaupt geht. (Firmenvorschrift)

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Alinka
Beiträge: 12
Registriert: 04.05.2019 02:07:03

Re: Unterstützt Buster Secure-Boot?

Beitrag von Alinka » 19.07.2019 00:54:18

scientific hat geschrieben: ↑ zum Beitrag ↑
17.07.2019 23:36:59
Was secureboot anbelangt...
Und da ja jetzt Buster secureboot können sollte, überlege ich stark wieder zu Debian zurückzukehren... Der Grund, warum ich Fedora nahm war ja das fehlende Secureboot, was aber zwingend Notwendig ist, damit der Laptop mit Win10 im Dualboot mit Bitlocker überhaupt geht. (Firmenvorschrift)
Klasse! Es wäre schön, wenn Du Du das (Dualboot / Uefi-Boot / Bitlocker / Debian) dokumentieren würdest. Nutzt Du den open source bitlocker?

Ich schreibe gerade von einem Dell-Notebook mit LVM-Cryptoluks verschlüsseltem System, habe aber noch einen Rechner, den ich als dual-boot eingerichtet habe. Der Rechner (mit P5K PRO ASUS Mainboard und Intel Core 2 Quad CPU) und das bios ist allerdings so alt, dass es kein uefi/secure-boot anbietet.
Mir geht's in der Frage und meinem Interesse am Thema jedoch um Wissen, was ich weitergeben kann. Dies, weil ich bezüglich der "Digitalisierung" (sobald das Gespräch - auch mit Menschen, die ich gerade kennen lerne-) immer Linux anpreise und könnte dann Nachbar*innen bei der Installation helfen. Allerdings empfehle ich Linux-Neulingen erst einmal Ubuntu oder Linux-Mint. Jetzt probiere auch auch mal Manjaro aus, scheint auch sehr einfach in der Handhabung zu sein. Toll ich finde ich, dass sie den iso-images ein Handbuch hinzugefügt haben, auf dem die Installation und das System gut erklärt wird. Für die alten Rechner supporten sie sogar noch 32-bit (x86).

Antworten