Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- wiki:secureboot [2024/03/29 18:36] – [mokutil] pulsar
+++ wiki:secureboot [2025/06/10 18:33] (aktuell) – [SUSE] pulsar
@@ Zeile 1: / Zeile 1: @@
 ====== Secure Boot ======
+Im Zusammenhang mit diesen Artikel verwendete Hardware:
+https://www.heckpiet.net/dell-wyse-5070-thin-client-als-home-sever
 Im UEFI lässt sich SecureBoot aktivieren/deaktivieren. Oft ist parallel dazu auch die Konfiguration von TPM(TrustedPlattformModul) möglich.
@@ Zeile 72: / Zeile 76: @@
 Ansonsten gilt:
-Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon.
+Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon - Hauptgrund warum der Boot-Stick nicht mehr startet.
-folgender Kommando zeigt nur einen **[key 1]** Issuer: CN=SUSE Linux Enterprise Secure Boot CA
+folgender Kommando zeigt nur einen **[key 1]** Issuer: CN=SUSE Linux Enterprise Secure Boot CA - so sieht es auch aus wenn es funktioniert.
   mokutil --list-enrolled
@@ Zeile 115: / Zeile 119: @@
   # shim-install
   No valid EFI partition
+The default boot loader used by openSUSE on UEFI systems is grub2. When in secure boot mode, an additional boot loader called 'shim' is used too. Instead of directly calling grub2 in that mode the firmware first loads 'shim'. 'shim' carries a signature by Microsoft in order to be recognized by the firmware. 'shim' in turn knows about the openSUSE certificate that was used to sign grub2. grub2 then is able to load linux kernels that are also signed by the openSUSE certificates. After loading the Linux kernel the scope of secure boot ends. The linux kernel used in openSUSE does not impose additional restrictions.
+In order to allow having custom boot loaders as well as custom kernels shim offers a way to import custom signatures. The program 'MokManager' is used for that purpose. When 'shim' is instructed to load a binary that is not signed by a well known entity it calls into MokManager which allows to import certificates into the database of well known signature issuers.
+Damit beim Suse Updates kein zu neuer restiktiver shim aktiv wird wurden nun
+sicherheitshalber Updates für shim blockiert:
+<code>
+iglu:~ # zypper la shim
+Specified lock has been successfully added.
+iglu:~ # zypper ll
+# | Name | Type    | Repository | Comment
+--+------+---------+------------+--------
+| shim | package | (any)      |
+</code>
@@ Zeile 171: / Zeile 196: @@
  Boot into FW: supported
 </code>
+aktualisiert vom Juni 2025:
+<code>
+systemd-boot not installed in ESP.
+System:
+     Firmware: n/a (n/a)
+systemd-boot not installed in ESP.
+System:
+     Firmware: n/a (n/a)
+  Secure Boot: disabled
+   Setup Mode: setup
+ TPM2 Support: no
+ Boot into FW: supported
+Current Boot Loader:
+      Product: n/a
+     Features: ✗ Boot counting
+               ✗ Menu timeout control
+               ✗ One-shot menu timeout control
+               ✗ Default entry control
+               ✗ One-shot entry control
+               ✗ Support for XBOOTLDR partition
+               ✗ Support for passing random seed to OS
+               ✗ Boot loader sets ESP information
+          ESP: n/a
+         File: └─n/a
+Random Seed:
+ Passed to OS: no
+ System Token: not set
+       Exists: no
+Available Boot Loaders on ESP:
+          ESP: /boot/efi (/dev/disk/by-partuuid/bc27f2b1-939f-49dc-8706-ef192de81380)
+         File: └─/EFI/BOOT/bootx64.efi
+Boot Loaders Listed in EFI Variables:
+        Title: opensuse-secureboot
+           ID: 0x0000
+       Status: active, boot-order
+    Partition: /dev/disk/by-partuuid/bc27f2b1-939f-49dc-8706-ef192de81380
+         File: └─/EFI/opensuse/shim.efi
+        Title: ECOSRH
+           ID: 0x0001
+       Status: active, boot-order
+    Partition: /dev/disk/by-partuuid/b90c1753-d520-47c9-a136-5a0ad43e2cd2
+         File: └─/EFI/BOOT/ecosx64.efi
+        Title: UEFI: Hard Drive, Partition 1
+           ID: 0x0002
+       Status: active, boot-order
+    Partition: /dev/disk/by-partuuid/4bbfb437-c90f-4129-a9d9-35ac54bf8b74
+         File: └─EFI/boot/bootx64.efi
+        Title: RH2
+           ID: 0x0004
+       Status: active, boot-order
+    Partition: /dev/disk/by-partuuid/b90c1753-d520-47c9-a136-5a0ad43e2cd2
+         File: └─/EFI/BOOT/BOOTx64.EFI
+Boot Loader Entries:
+        $BOOT: /boot/efi (/dev/disk/by-partuuid/bc27f2b1-939f-49dc-8706-ef192de81380)
+entries, no entry could be determined as default.
+</code>
@@ Zeile 189: / Zeile 282: @@
   mokutil --pk
+Dieser Kommando liefert nun 2 key zurück, in Suse keine Updates eingespielt, kann nur vom BootStick sein.
   mokutil --dbx