shim - Debian Secure Boot Keys

[HumiNi]

Moin

Ich sitze vor meinem "neuen", mit Win geliefertem PC und wollte vor der bookworm-Installation (Win-Partition habe ich bereits verkleinert) erst 'mal mit der debian-live-12.4.0-amd64-standard.iso booten.
Dabei kommt die Fehlermeldung:

Code: Alles auswählen

error: bad shim signature
error: you need to load the kernel first

Laut https://wiki.debian.org/SecureBoot müsste ich (IMHO) die Debian SB keys per shim ins UEFI bringen.
Ich habe leider bisher nicht gefunden, wie ich das vor einer Installation und ohne SB zu deaktivieren anstellen kann. Ich möchte das auf einem möglichst "sauberen" Weg bewerkstelligen. Geht das? Wie?

Ich bin dankbar für jeden Tipp.

[GregorS]

Kannst Du Secure Boot nicht einfach deaktivieren?

Gruß

Gregor

[HumiNi]

Kannst Du Secure Boot nicht einfach deaktivieren?

Ich vermute ja, aber ich ziele auf eine saubere Lösung.

[GregorS]

Kannst Du Secure Boot nicht einfach deaktivieren?

Ich vermute ja, aber ich ziele auf eine saubere Lösung.

Sauber ist meiner Meinung nach, wenn das System genau das tut, was Dir passt. Wenn Du Secure Boot nicht benötigst, z.B. weil Du der Einzige bist, der das Gerät nutzt, dann stellt so eine Änderung im BIOS doch kein Problem dar ...?

Gruß

Gregor

[QT]

ich ziele auf eine saubere Lösung.

Dann boote keine nicht-signierten OSe oder schalte die Signaturprüfung ab. Was ist denn daran "sauber", dass Du ein OS laden willst ohne Signatur?

[michaa7]

Kannst Du Secure Boot nicht einfach deaktivieren?

Ich vermute ja, aber ich ziele auf eine saubere Lösung.

Dein Problem besteht darin, dass dein live Iso nicht signiert ist. Damit wird das nie so gehen wie von dir gewünscht.

Ob es eine signierte herunterladbare Debian Live CD gibt weiß ich nicht, aber das ist was du benötigen würdest damit das mit aktivem secureboot klappt.

[HumiNi]

Ich verstehe das andersherum. Warum sollte das Debian-Team Live-ISOs ohne gültige Signatur bereitstellen?
Aber gültige Signaturen müssen natürlich dem UEFI bekannt sein. Da ich hier quasi einen Windows-Rechner vor mir habe, hat der Hersteller/Händler sich wahrscheinlich nur um die Microsoft-Signaturen gekümmert.

Aber gut, ich mache den Gegencheck und versuche, mit der netinstall zu booten.

[GregorS]

... Aber gültige Signaturen müssen natürlich dem UEFI bekannt sein. ...

Die Antwort auf die Frage, wie Du den/die Schlüssel/Signatur dort eintragen kannst, sollte in der Doku zu Deinem Rechner zu finden sein. Das hat mit Linux (soweit ich das grad überschaue) nichts zu tun. Wie ich das verstehe, gilt so ein Schlüssel auch nicht für eine Distribution, sondern für den Distributor. Du solltest den „Debian ist gut“-Schlüssel also nur einmal eintragen müssen, und der gilt dann für alles, was von Debian kommt.

Gruß

Gregor

[OrangeJuice]

Moin

Ich sitze vor meinem "neuen", mit Win geliefertem PC und wollte vor der bookworm-Installation (Win-Partition habe ich bereits verkleinert) erst 'mal mit der debian-live-12.4.0-amd64-standard.iso booten.
Dabei kommt die Fehlermeldung:

Code: Alles auswählen

error: bad shim signature
error: you need to load the kernel first

Debian Live Bookworm kann in SecureBoot Modus starten, den Schlüssel bringt das System dafür mit. Was hast du denn für Hardware?

[HumiNi]

Was hast du denn für Hardware?

HP EliteDesk 800 G2 SFF
System BIOS: N01 Ver.89.59 12/20/2022

Welche Angaben sind noch interessant?

[OrangeJuice]

Vielleicht im Bios Secure Boot auf Custom umstellen.

Mein Debian verhält sich mit einer NVME und Secure Boot eigenartig, aber nur Debian. Fedora und Ubuntu haben diese Probleme nicht.
Debian startet im Secure Boot Modus(im Bios aktiviert) obwohl Secure Boot angeblich laut mokutil nicht läuft, aber dann dürfte das System doch überhaupt nicht starten.

[HumiNi]

Es ist alles etwas (für mich) verwirrend.
Die Umstellung auf custom mode im BIOS hat etwas bewirkt. Allerdings gab es beim Laden (von keys?) Fehlermeldungen, die nicht lange genug sichtbar waren.

Jetzt habe ich beim Booten der Live-ISO folgenden Zustand:

Code: Alles auswählen

error: invalid magic number
error: you need to load the kernel first

Wenn ich "Start installer" auswähle, komme ich schon mal zu "Select the language". Weiter will ich erst einmal nicht gehen. Ich würde gern das Live-ISO starten.

[OrangeJuice]

Wie hast du Debian Live auf einen Stick aufgespielt, mit Rufus, etc...?

[HumiNi]

Wie hast du Debian Live auf einen Stick aufgespielt, mit Rufus, etc...?

Code: Alles auswählen

dd

Ich prüfe mal mit sha256sum.

[tijuca]

Es gibt keine signierten Iso Images in Debian in dem Sinne wie man es mit der Idee hinter Secure Boot vergleichen kann, wird auch gar nicht benötigt.

Secure Boot prüft die Validierung einer Signatur von etwas bootfähigem. Das wäre dann der Grub Bootloader im Zusammenspiel mit dem Linux Kernel. Wie das alles zusammen spielt ist auf der eingangs erwähnten Wiki Seite erklärt.

HP wird wie alle anderen Hersteller auch mit einem Subset an bekannten Schlüsseln kommen, die sind im UEFI/BIOS, bzw. im ROM dessen enthalten und können wie hier schön erwähnt auch verändert werden. Z.B durch eine UEFI/BIOS Aktualisierung. Was aber heute oft eine Grundeinstellung im UEFI ist, dass sogenannten Third-Party Schlüssel (und dazu zählt auch Debian) aus Gründen von Sicherheit nicht aktiviert bzw. benutzbar sind. Wo so eine Einstellung bei diesem Laptop verändert werden kann entzieht sich meiner Kenntnis. Wer mit aktuellen Lenovo X1 Modellen zu tun findet die Einstellung die man ändern muss z.B. in diesem Dokument https://download.lenovo.com/pccbbs/mobi ... re_PCs.pdf

Also, gut möglich, dass man "nur" im UEFI/BIOS noch was frei geben muss. Ansonsten sind die Hinweise, dass es eine Fehlermeldung gibt sehr knapp um mehr deuten zu können.

[HumiNi]

Was soll ich sagen? sha256sum geprüft, Stick neu beschrieben -> Live-System bootet.

Wobei ich immer noch verwirrt bin: Auch neu beschrieben hat das Image eine zwar andere, aber trotzdem nicht die korrekte Prüfsumme.
Ich nehme jetzt einen anderen Stick und das Gnome-Live-ISO zum Testen.

[GregorS]

Was soll ich sagen? sha256sum geprüft, Stick neu beschrieben -> Live-System bootet.

Gräm' dich nicht Ich musste schon zweimal auf diesem Wege vom Ableben eines USB-Sticks erfahren. Shit happens.

Gruß

Gregor

[HumiNi]

Anderer Stick -> anderes ISO -> alles gut.
Das Gute daran: Ich war das erste Mal genötigt, mich mit Secure Boot zu beschäftigen und habe etwas (ansatzweise) gelernt.

Danke allen für Hinweise.