Ich habe hier ein Notebook, da ist dieses Linpus Lite vorinstalliert. Dann habe ich noch einen USB-Stick, auf dem befindet sich das netinstall iso, 64-bit. Wenn ich dann vom Stick booten will, kommt dieses `Security Boot Fail`.
Okay, ich weiss, dass das was mit diesem uefi zu tun hat, und sehr viel mehr aber auch nicht.
Kann man mich mal in die richtige Richtung schubsen, was ich tun muss, damit ich vom Stick booten und installieren kann?
Gruesse
henry
[gelöst] uefi - booten/installieren von usb
-
mullers
[gelöst] uefi - booten/installieren von usb
Zuletzt geändert von mullers am 07.11.2015 21:56:07, insgesamt 1-mal geändert.
Re: uefi - booten/installieren von usb
Das einfachste wäre es Secure Boot im BIOS-Setup zu deaktivieren.
-
mullers
Re: uefi - booten/installieren von usb
Ist das sinnvoll? Was wäre denn eine nicht einfache Lösung?smutbert hat geschrieben:Das einfachste wäre es Secure Boot im BIOS-Setup zu deaktivieren.
Re: uefi - booten/installieren von usb
Es ist imho die sinnvollste Möglichkeit, wenn man den Aufwand miteinrechnet:
Eine aufwändige Lösung wäre zu versuchen dem zu bootenden System Secure Boot beizubringen. Soweit ich weiß bedeutet das im Grunde nur, dass der Bootloader signiert sein muss, damit das UEFI ihn lädt. Allerdings habe ich mich nicht damit auseinandergesetzt woher der öffentliche Schlüssel für die Signatur kommen kann, soll oder muss, damit die Signatur überprüft werden kann.
Ich glaube viele GNU/Linux-, BSD-Distributionen, die Secure Boot unterstützen verwenden einfach nur einen mit einem Microsoft-Schlüssel signierten "Shim", der nichts anderes macht als den nicht signierten Bootloader (zB grub) zu laden. Sicherheitsgewinn ist so ein Vorgehen jedenfalls keiner.
Secure Boot wäre nur sinnvoll, wenn man einen von einer vertrauenswürdigen Stelle signierten Grub oder einen anderen Bootloader hätte, der im Optimalfall wieder nur signierte (diesmal zB von Debian) Kernel lädt.
Davon, dass eine Zwischenschicht (shim) signiert ist, habe ich gar nichts, wenn bereits der Bootloader, den diese Schicht lädt kompromittiert sein kann und dasselbe gilt noch einmal für den Bootloader, wenn es dem nichts ausmacht einen nicht vertrauenswürdigen Kernel zu laden.
Eine aufwändige Lösung wäre zu versuchen dem zu bootenden System Secure Boot beizubringen. Soweit ich weiß bedeutet das im Grunde nur, dass der Bootloader signiert sein muss, damit das UEFI ihn lädt. Allerdings habe ich mich nicht damit auseinandergesetzt woher der öffentliche Schlüssel für die Signatur kommen kann, soll oder muss, damit die Signatur überprüft werden kann.
Ich glaube viele GNU/Linux-, BSD-Distributionen, die Secure Boot unterstützen verwenden einfach nur einen mit einem Microsoft-Schlüssel signierten "Shim", der nichts anderes macht als den nicht signierten Bootloader (zB grub) zu laden. Sicherheitsgewinn ist so ein Vorgehen jedenfalls keiner.
Secure Boot wäre nur sinnvoll, wenn man einen von einer vertrauenswürdigen Stelle signierten Grub oder einen anderen Bootloader hätte, der im Optimalfall wieder nur signierte (diesmal zB von Debian) Kernel lädt.
Davon, dass eine Zwischenschicht (shim) signiert ist, habe ich gar nichts, wenn bereits der Bootloader, den diese Schicht lädt kompromittiert sein kann und dasselbe gilt noch einmal für den Bootloader, wenn es dem nichts ausmacht einen nicht vertrauenswürdigen Kernel zu laden.
-
mullers
Re: uefi - booten/installieren von usb
Gut, das habe ich dann auch so gemacht; danke.smutbert hat geschrieben:Das einfachste wäre es Secure Boot im BIOS-Setup zu deaktivieren.
Noch aus Neugierde: Wenn ich dann, nach der Installation, secure boot im bios-setup wieder aktivieren würde, dann würde mein System ja nicht mehr booten?