Bullseye auf T460s

[Mounty]

Moin!

Ich benötige dringend Hilfe bei diesem neumodischem Kram:

Ich habe hier ein neues gebrauchtes Thinkpad T460s. (8 GB Speicher / 256 GB Festplatte). Vorinstalliert ist Win10. Funktioniert. BIOS Update gemacht.

Jetzt möchte ich nur Bullseye (verschlüsselt) auf den T460s installieren. Im BIOS gibt es drei Einstellungen: UEFI - UEFI/Legacy - Legacy
Benötige ich UEFI? Hat das irgendwelche Vorteile bei meine Konfig?
Bei UEFI muss die Festplatte anders aufteilen, oder? Möchte nur eine große Partition (/ - verschlüsselt) haben. Für UEFI wird doch noch eine zusätzliche Partition benötig?

Fragt, mit Dank und Gruß ein unwissender
Mounty

[hikaru]

Mit UEFI + Secure Boot könntest du dafür sorgen, dass nur dein signierter Kernel gebootet wird und nicht z.B. der eines Angreifers von einem USB-Stick.
Falls du das nicht für nötig hältst, weil du deiner Verschlüsselung vertraust, dann kannst du auch einfach im BIOS Secure Boot abschalten, auf "Legacy Only" umstellen und alles ist wie gehabt.

UEFI-Boot allein, also ohne Secure Boot bringt mMn keine Vorteile gegenüber Legacy-Boot.

[kalle123]

Benötige ich UEFI? Hat das irgendwelche Vorteile bei meine Konfig?

Hab nen T450s hier, 8GB und 256GB SSD. Nur Bullseye drauf.

'Legacy' und gut isses

cu KH

[Mounty]

Danke euch beiden. Dann installiere ich das Teil im Legacy-Modus. Wie gehabt:-)

Danke für die schnellen Antworten und Gruß
Mounty

[dasebastian]

Habe hier ein T420, nur Bullseye drauf.

UEFI only, und gut isses

Musste sein. Peace!

[mcb]

.........
UEFI-Boot allein, also ohne Secure Boot bringt mMn keine Vorteile gegenüber Legacy-Boot.

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht. Ein paar Thunderbold "Sicherheitsfunktionen" laufen auch nur mit SecureBoot.

[hikaru]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Ok, davon hatte ich schon mal gelesen, hatte bisher aber noch kein Thinkpad das neu genug dafür war.

Ein paar Thunderbold "Sicherheitsfunktionen" laufen auch nur mit SecureBoot.

Hast du dazu einen Link? Mit Thunderbolt hatte ich bisher noch nichts zu tun. Ich hatte nur mal aufgeschnappt, dass es prinzipiell Vollzugriff auf die Hardware erlaubt, ähnlich wie Firewire.

[jph]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Genau dies funktioniert tadellos. Tippe gerade unter Bullseye auf meinem via UEFI gebooteten T460s. Finger weg von Legacy, wir schreiben das Jahr 2022.

[mcb]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Genau dies funktioniert tadellos. Tippe gerade unter Bullseye auf meinem via UEFI gebooteten T460s. Finger weg von Legacy, wir schreiben das Jahr 2022.

Das meinte ich - UEFI für fwupdmgr (geht überings zur Zeit nicht mit Secureboot...)

[mcb]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Ok, davon hatte ich schon mal gelesen, hatte bisher aber noch kein Thinkpad das neu genug dafür war.

Ein paar Thunderbold "Sicherheitsfunktionen" laufen auch nur mit SecureBoot.

Hast du dazu einen Link? Mit Thunderbolt hatte ich bisher noch nichts zu tun. Ich hatte nur mal aufgeschnappt, dass es prinzipiell Vollzugriff auf die Hardware erlaubt, ähnlich wie Firewire.

Ja, wie jedes mal, sobald ein kluger Kopf hin schaut ist der Vollzugriff möglich:
https://thunderspy.io/

Code: Alles auswählen

python3 /opt/spycheck-linux/spycheck.py -y
Welcome to Spycheck. This tool will verify whether your system is vulnerable to the Thunderspy attacks.

Please identify the ports on your system.
Does your system provide any USB-C or Mini-DP ports? [y/n] y
Is there a lightning symbol printed alongside any of these ports? [y/n] y
Enumerating, please wait...


Summary:
 System is Partially Vulnerable

Your system features a Thunderbolt 3 controller.

Your system supports Kernel DMA Protection, whichpartially mitigates Thunderspy.

For recommendations on how to further protect your system, please refer to https://thunderspy.io/#kernel-dma-protection
Please note that the extent to which your system is partially vulnerable may change as research progresses.

OS version:
 Linux kernel 5.15.0-0.bpo.3-amd64
Kernel DMA Protection:
 Enabled
System vendor: 
 LENOVO
Product name: 
 20NXCTO1WW


Thunderbolt controller #0: 
JHL6240 Thunderbolt 3 NHI (Low Power) [Alpine Ridge LP 2016]
  Generation:
   Thunderbolt 3
  Port number:
   0

Das CCC-Video ist auch klasse. Ich habe hier im Forum schonmal gefragt vor einiger Zeit.

[Mounty]

Da ich noch nicht weiter komme, wollte ich es mal mit UEFI only probieren. Allerdings startet der Installer erst gar nicht (UEFI only, USB-DVD-LW, Netinstall 11.2)

Wo ist jetzt das Problem. Benötige ich einen anderen Installer (CD)?


Frage, natürlich mit Gruß, ich hier mal in die Runde
Mounty

[kalle123]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Danke für den Hinweis. Hab gerade meinen T450s von 1.36 auf 1.37 (wohl das letzte BIOS, das es für die Kiste geben wird) aktualisiert. Null problemo, obwohl Bullseye da in Legacy drauf ist. Schaltest halt im BIOS um, aber was das nun damit zu tun haben soll, wie Linux installiert wurde (ob EFI oder Legacy) erschließt sich mir nicht .....

[mcb]

Du mußt den Stick passend erstellen. Ich habe die iso immer auf das Device kopiert mit cp -v ...iso /dev/sdX (X = Stick).

[mcb]

Doch, man kann die Firmware unter Linux updaten (bei neueren Modellen), das geht im Legacy Mode nicht.

Danke für den Hinweis. Hab gerade meinen T450s von 1.36 auf 1.37 (wohl das letzte BIOS, das es für die Kiste geben wird) aktualisiert. Null problemo, obwohl Bullseye da in Legacy drauf ist. Schaltest halt im BIOS um, aber was das nun damit zu tun haben soll, wie Linux installiert wurde (ob EFI oder Legacy) erschließt sich mir nicht .....

Da hast du aber die iso oder den Flasher von Lenovo bemüht, oder?

[Mounty]

Mit einem USB-Stick und Netinstall hat das jetzt mit 'UEFI only' ohne Probleme funktioniert.

Mit Dank und Gruß
Mounty