Windows VM und Secureboot (Buster)

[mcb]

Hola,

ich bin "beginner" und wurschtel mich so langsam durch.

Folgender ist vorhanden:

Thinkpad mit Debian Buster und ein paar backports.

Ich betreibe die Installation im UEFI-Mode mit Secureboot und Speicherschutz.

Mit dem neusten Kernel 5.6 kann ich keine Module mehr nachladen mit 5.5 ging das noch (für TLP) ... nicht schlimm.

Da ich den Wald vor lauter Bäumen nicht sehe:


Womit Visualisiere ich am besten Windows?

Xen, KVM oder QEMU ?!? Müßte halbwegs "easy" einzurichten sein und wäre schön wenn es ohne Verrenkungen mit dem Secureboot harmoniert.

Danke

PS: Ich möchte EAC und zwei DVD-Konverter sowie Itunes nutzen. <- reicht dafür ev. Wine ? Und wie sieht es bei Wine mit der Sicherheit aus?

PPS: Natürlich habe ich schon gegoogled

https://stegard.net/2016/10/virtualbox- ... untu-fail/

Blicke aber wirklich nicht durch.

[willy4711]

Thinkpad mit Debian Buster und ein paar backports.

Brauchst du die Backports ?

Mit dem neusten Kernel 5.6 kann ich keine Module mehr nachladen mit 5.5 ging das noch (für TLP) ... nicht schlimm.

Schlimm schon, da Virtualbox ebenfalls Kernelmodule benötigt.
Fehlermeldungen ?

Ich betreibe die Installation im UEFI-Mode mit Secureboot und Speicherschutz.

Wozu meinst du secureboot zu brauchen ? Eine Installation von Virtualbox gibt da garantiert Probleme.
Wenn du Windows in einer VM mit gemeinsamen Ordnern usw betreiben willst, ist Virtualbox aber die einfachste Lösung.

[rhHeini]

Windows10 sollte problemslos in einer Virtualbox-VM laufen. VB hat aber Problemchen mit UEFI, und Secure Boot macht in einer VM auch absolut keinen SInn.

Gruß, Rolf

[willy4711]

VB hat aber Problemchen mit UEFI, und Secure Boot macht in einer VM auch absolut keinen SInn.

Ich glaube eher, er meint da den Host. Seit Menschengedenken kommt da im Journal die Meldung:

Code: Alles auswählen

Jun 26 10:12:47 XFCE kernel: vboxdrv: module verification failed: signature and/or required key missing - tainting kernel

Ich denke, damit hat sich Secureboot für den Host erledigt.

Ansonsten hast du natürlich Recht.

[mcb]

Danke.

- ich meinte selbstverständlich der Host also Debian läuft im UEFI-Secure-Mode. Für die VM reicht selbstverständlich Legacy-/Bios-Mode.

- also Virtual-Box wäre am einfachsten => SecureBoot aus

- Backports "brauche" ich für den Speicherschutz gegen Thunderspy z.B.

[mcb]

Mit dem neusten Kernel 5.6 kann ich keine Module mehr nachladen mit 5.5 ging das noch (für TLP) ... nicht schlimm.

Schlimm schon, da Virtualbox ebenfalls Kernelmodule benötigt.
Fehlermeldungen ?

Das TLP-Modul benötigt man/ich nur noch zur Akkurekalibrierung -> brauche ich nicht - die Akkuschwellen kann man inzwischen über den Kernel setzen.

Verständnisfrage: Kann man bei Secureboot überhaupt keine oder nur nicht signierte Module nicht nachladen ?
Ich war davon ausgegangen das signierte Module nach wie vor nachgeladen werden können?

Sorry mit dem Zitieren habe ich Mist gebaut

[willy4711]

Verständnisfrage: Kann man bei Secureboot überhaupt keine oder nur nicht signierte Module nicht nachladen ?
Ich war davon ausgegangen das signierte Module nach wie vor nachgeladen werden können?

Ich benutze kein Secure-Boot, da ich nicht weiß, welchen Nutzen das für mich haben sollte.
Signierte Module sollten meines Wissens gehen.
Aber Virtualbox hat, wie oben gesagt wohl irgendetwas un-signiertes.
Du kannst sie eh nur direkt von Virtualbox beziehen, da in Debian z.Z. mal wieder nicht vorhanden.
Ich benutze folgendes Repo:

Code: Alles auswählen

cat /etc/apt/sources.list.d/virtualbox.list
deb [arch=amd64] https://download.virtualbox.org/virtualbox/debian eoan contrib

Weiteres hier:
https://www.virtualbox.org/wiki/Linux_Downloads

Das TLP-Modul benötigt man/ich nur noch zur Akkurekalibrierung -> brauche ich nicht - die Akkuschwellen kann man inzwischen über den Kernel setzen.

Hast du dieses installiert tp-smapi-dkms ? Oder nur tlp
Bevor du Virtualbox installierst, würde ich erstmal nach Fehlermeldungen in Journal sehen.

[MSfree]

Verständnisfrage: Kann man bei Secureboot überhaupt keine oder nur nicht signierte Module nicht nachladen ?

Man kann nur noch signierte Module laden. Aber dieser Linke aus dem erten Post beschreibt ja, wie man Module selbst signieren kann.
https://stegard.net/2016/10/virtualbox- ... untu-fail/

[mcb]

Verständnisfrage: Kann man bei Secureboot überhaupt keine oder nur nicht signierte Module nicht nachladen ?

Man kann nur noch signierte Module laden. Aber dieser Linke aus dem erten Post beschreibt ja, wie man Module selbst signieren kann.
https://stegard.net/2016/10/virtualbox- ... untu-fail/

Mal sehen ob ich das hinbekomme -> ich könnte erstmal mit "tpacpi-bat = inactive (kernel module 'acpi_call' not installed)" üben, hatte es jetzt erstmal aus Frust runtergeschmissen ...

Code: Alles auswählen

--- TLP 1.3.1 --------------------------------------------

+++ System Info
System         = LENOVO ThinkPad T490s 20NXCTO1WW
BIOS           = N2JET88W (1.66 )
Release        = Debian GNU/Linux 10 (buster)
Kernel         = 5.6.0-0.bpo.2-amd64 #1 SMP Debian 5.6.14-2~bpo10+1 (2020-06-09) x86_64
/proc/cmdline  = BOOT_IMAGE=/vmlinuz-5.6.0-0.bpo.2-amd64 root=/dev/mapper/mb--vg-root ro quiet
Init system    = systemd v245 (245.6-1~bpo10+1)
Boot mode      = UEFI

+++ TLP Status
State          = enabled
RDW state      = enabled
Last run       = 10:53:09 PM,  53450 sec(s) ago
Mode           = AC
Power source   = AC

+++ Battery Features: Charge Thresholds and Recalibrate
natacpi    = active (data, thresholds)
tpacpi-bat = inactive (kernel module 'acpi_call' not installed)
tp-smapi   = inactive (ThinkPad not supported)

+++ ThinkPad Battery Status: BAT0
/sys/class/power_supply/BAT0/manufacturer                   = SMP
/sys/class/power_supply/BAT0/model_name                     = 02DL014
/sys/class/power_supply/BAT0/cycle_count                    =     11
/sys/class/power_supply/BAT0/energy_full_design             =  57020 [mWh]
/sys/class/power_supply/BAT0/energy_full                    =  57040 [mWh]
/sys/class/power_supply/BAT0/energy_now                     =  40700 [mWh]
/sys/class/power_supply/BAT0/power_now                      =      0 [mW]
/sys/class/power_supply/BAT0/status                         = Unknown (threshold may prevent charging)

/sys/class/power_supply/BAT0/charge_start_threshold         =     45 [%]
/sys/class/power_supply/BAT0/charge_stop_threshold          =    100 [%]

Charge                                                      =   71.4 [%]
Capacity                                                    =  100.0 [%]

+++ Recommendations
* Install acpi_call kernel module for ThinkPad battery recalibration

[mcb]

Hier die Fehlermeldung mit Modul:

Code: Alles auswählen

sudo apt update && sudo apt list --upgradable -a && sleep 6 && sudo apt upgrade -y && sudo apt -t buster-backports upgrade -y && sudo apt autoremove -y
Hit:1 http://deb.debian.org/debian buster InRelease
Hit:2 http://security.debian.org/debian-security buster/updates InRelease                               
Hit:3 http://deb.debian.org/debian buster-updates InRelease                                             
Hit:4 http://dl.google.com/linux/chrome/deb stable InRelease                                            
Hit:5 http://deb.debian.org/debian buster-backports InRelease                                           
Get:6 https://gitlab.com/paulcarroty/vscodium-deb-rpm-repo/raw/repos/debs vscodium InRelease [3,828 B]  
Hit:7 https://packages.microsoft.com/debian/10/prod buster InRelease                                    
Hit:8 http://cdn-fastly.deb.debian.org/debian buster-backports InRelease     
Fetched 3,828 B in 1s (4,941 B/s)
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
Listing... Done
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
1 not fully installed or removed.
After this operation, 0 B of additional disk space will be used.
Setting up acpi-call-dkms (1.1.0-5) ...
Removing old acpi-call-1.1.0 DKMS files...

------------------------------
Deleting module version: 1.1.0
completely from the DKMS tree.
------------------------------
Done.
Loading new acpi-call-1.1.0 DKMS files...
Building for 5.6.0-0.bpo.2-amd64
Building initial module for 5.6.0-0.bpo.2-amd64
Error! Bad return status for module build on kernel: 5.6.0-0.bpo.2-amd64 (x86_64)
Consult /var/lib/dkms/acpi-call/1.1.0/build/make.log for more information.
dpkg: error processing package acpi-call-dkms (--configure):
 installed acpi-call-dkms package post-installation script subprocess returned error exit status 10
Errors were encountered while processing:
 acpi-call-dkms
needrestart is being skipped since dpkg has failed
E: Sub-process /usr/bin/dpkg returned an error code (1)

Ich glaube ich gebe erstmal auf, die Anleitung mit dem Signieren verstehe ich auch nur halb ...