fwupd funktioniert nicht mehr (genauer: Zeigt kein dbx-Update an, das existieren müsste)

[electri]

Leider habe ich im UEFI-Bios die Secure-Boot-Schlüssel aus Versehen auf Werkseinstellung zurück gesetzt. Ich habe nun in der UEFI-dbx-Liste (uefi-revocation-datebase) nur 77. Davor hatte ich aber 267. Weder mit einem frisch installierten Debian12 noch mit einem Ubuntu 23.4 (live vom USB-Stick) kann ich die gesperrten Schlüssel wieder ins UEFI einspielen. Der Befehl "fwupdmgr get-updates" gibt trotz einer vorherigen Aktualisierung mit "refresh" aus: "Keine aktualisierbaren Geräte". Im Bios werden mir 77 Keys angezeigt, und auch mit dem Befehl fwupdmgr get-devices steht 77. Ich bin mir aber ganz sicher, dass vor längerer Zeit (1-2 Jahre) eine Testinstallation von Ubuntu die UEFI-dbx-Datenbank auf 267 aktualisiert hat. Hat jemand eine Idee, was da gerade schief läuft bei mir? Ich habe im Bios die Standardeinstellungen geladen. SecureBoot ist aktiviert. Andere Systeme sind nicht auf der Platte.

[Blackbox]

Leider viel Text, aber wenig prüfbarer Inhalt.

Du könntest deine Beschreibung mit Daten aus deiner Terminal Emulation untermauern.
Das ließe sich zumindest nachvollziehen und prüfen.
Bitte verwende für langen Terminal-Output unseren NoPaste.

Weiterhin wäre dein genaues Gerät interessant und eine Übersicht der einzelnen Komponenten.

Anmerkung: Hilfreich wäre auch, dein Anliegen nicht in einen Textblock zu gießen, das erschwert den Lesefluss und schreckt Unterstützer ab.

[electri]

Nach längerer Zeit pushe ich das nochmal. Vielleicht hat doch noch jemand eine Idee.

Code: Alles auswählen

fwupdmgr get-devices

gibt unter der Rubrik UEFI dbx folgende Werte aus:

Code: Alles auswählen

UEFI dbx:
Aktuelle Version: 77
Minimale Version: 77

Jetzt weiß ich aber, dass ich früher Version 217 hatte. Von der Version berichten auch einige Leute im Netz, dass das System aktualisieren will, aber nicht kann (z.B. https://askubuntu.com/questions/1429678 ... e-uefi-dbx) Die Version scheint es noch zu geben. Es wäre auch kaum vorstellbar, dass die Aktualisierung zurückgerufen wird. Bei mir scheint es aber so, also ob Version 77 die aktuellste ist die es gibt. Der Befehl

Code: Alles auswählen

fwupdmgr get-updates

ergibt leider bei mir:

Code: Alles auswählen

Keine aktualisierbaren Geräte

Da ich früher unter Debian und Ubuntu meine Uefi-Datenbank aktualisiert habe, und nur durch einen versehentlichen Bios-Reset gelöscht habe, bin ich weiterhin irritiert warum ich nicht weiter komme und eine Uraltversion offenbar als aktuell gesehen wird. Testweise habe ich auch ein altes Bios installiert, aber auch damit kann ich kein Update machen.
Ein

Code: Alles auswählen

fwupdmgr refresh --force

ergibt

Code: Alles auswählen

Neue Metadaten wurden erfolgreich heruntergeladen: 0 lokale Geräte unterstützt

[electri]

Gerade nochmal getestet:
Mit Fedora kommt bei "fwupdmgr refresh" unter anderem "1 lokales Gerät unterstützt". Mit "fwupdmgr update" wird die neue UEFI dbx (revocation datebase) Version korrekt installiert.
Bei Debian/Ubuntu/wohl auch Manjaro erscheint bei "fwupdmgr refresh" nur "0 lokale Geräte unterstützt", dementsprechend scheitert auch das Update.

Liste ich die Geräte auf (fwupdmgr get-devices), dann erscheinen bei Debian als auch Fedora die gleichen Geräte. Das Problem besteht sowohl bei einer individuellen Installation, also auch einer Installation mit Standardeinstellungen (Gnome). Einen Debugmodus von fwupdmgr habe ich nicht gefunden, die Verbose-Option hat für mich nichts erhellendes gebracht. Weder bei refresh (Update der Datenbank) noch beim update (Update der Firmware bzw. Fehlschlagen) sehe ich Auffälligkeiten. Leider wird auch im Verbose-Modus nicht gezeigt, was "fwupdmgr refresh" genau macht, also wo was runtergeladen wird.

Könnte es sein, dass Debian & Co die UEFI dbx-Updates warum auch immer nicht ausführen, oder gibt es hier Leute, bei denen die Updates ausgeführt werden und hakt es nur bei mir?

[Blackbox]

Könnte es sein, dass Debian & Co die UEFI dbx-Updates warum auch immer nicht ausführen,

Also, ich konnte auf allen unterstützten Geräten besagtes Update problemlos installieren.
Aber ich verwende auch Debian unstable und eine echte Rolling Release Distribution.

hakt es nur bei mir?

Da du bisher der Einzige bist, der sich mit dieser Problematik meldet, scheint es im Moment so zu sein.

Kannst du bitte deine Partitionierung auflisten?

[electri]

Meine Partitionierung (NVM M.2 SSD Samsung, gpt, alles ext4 außer efi)
p1: EFI
p2 Debian (/ ; also alles incl. home)
p3 Fedora (/ ; also alles incl. home)
p4 nix
p5 Datenpartition, nicht eingebunden.
-> Allerdings hat Debian das Problem auch, wenn ich eine Standard-Gnome-Installation mit automatischer Partitionierung der gesamten SSD verwende, also incl. Swap- und vermutlich (weil automatisch) auch separater home-Partition. Vorher habe ich die SSD komplett gelöscht, da ich Sorge hatte, dass irgendwo noch ein alter Bootsektor oder was ähnliches rumgammelt. An der Partitionierung kann es daher m.E. nicht liegen.

Board ist ein Asus TUF GAMING B560M-PLUS mit i5-11500. Früher unter Debian und auch jetzt unter Fedora kann ich nur die UEFI dbx Datenbank aktualisieren. Firmware von UEFI und SSD kann und konnte ich noch nie aktualisieren. Samsung und Asus bieten diesen Service leider nicht über den LVFS an.

Weiß jemand, wo fwupdmgr sich die Daten holt? Mein Verständnis war, dass das Programm nicht auf das Repo der Distribution zugreift, sondern sich die Daten von LVFS-Servern holt. Insofern müsste ja, da Fedora und Debian bei mir die gleichen Geräte anzeigt, kein Unterschied zwischen den Distributionen sein. Leider zeigt auch die Verbose-option nicht die URL an, von der die Daten geholt werden.