Technik Gurus

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
wiki:secureboot

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
wiki:secureboot [2024/03/29 18:37] – [mokutil] pulsarwiki:secureboot [2025/01/17 12:04] (aktuell) techguru
Zeile 1: Zeile 1:
 ====== Secure Boot ====== ====== Secure Boot ======
 +
 +Im Zusammenhang mit diesen Artikel verwendete Hardware:
 +
 +https://www.heckpiet.net/dell-wyse-5070-thin-client-als-home-sever
  
 Im UEFI lässt sich SecureBoot aktivieren/deaktivieren. Oft ist parallel dazu auch die Konfiguration von TPM(TrustedPlattformModul) möglich.  Im UEFI lässt sich SecureBoot aktivieren/deaktivieren. Oft ist parallel dazu auch die Konfiguration von TPM(TrustedPlattformModul) möglich. 
Zeile 72: Zeile 76:
      
 Ansonsten gilt: Ansonsten gilt:
-Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon.+Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon - Hauptgrund warum der Boot-Stick nicht mehr startet.
  
  
Zeile 115: Zeile 119:
   # shim-install    # shim-install 
   No valid EFI partition   No valid EFI partition
 +
 +
 +The default boot loader used by openSUSE on UEFI systems is grub2. When in secure boot mode, an additional boot loader called 'shim' is used too. Instead of directly calling grub2 in that mode the firmware first loads 'shim'. 'shim' carries a signature by Microsoft in order to be recognized by the firmware. 'shim' in turn knows about the openSUSE certificate that was used to sign grub2. grub2 then is able to load linux kernels that are also signed by the openSUSE certificates. After loading the Linux kernel the scope of secure boot ends. The linux kernel used in openSUSE does not impose additional restrictions.
 +
 +In order to allow having custom boot loaders as well as custom kernels shim offers a way to import custom signatures. The program 'MokManager' is used for that purpose. When 'shim' is instructed to load a binary that is not signed by a well known entity it calls into MokManager which allows to import certificates into the database of well known signature issuers. 
 +
 +
 +Damit beim Suse Updates kein zu neuer restiktiver shim aktiv wird wurden nun
 +sicherheitshalber Updates für shim blockiert:
 +
 +<code>
 +iglu:~ # zypper la shim
 +Specified lock has been successfully added.
 +
 +iglu:~ # zypper ll
 +
 +# | Name | Type    | Repository | Comment
 +--+------+---------+------------+--------
 +1 | shim | package | (any)      | 
 +</code>
 +
  
  
Zeile 189: Zeile 214:
  
   mokutil --pk   mokutil --pk
 +
 +Dieser Kommando liefert nun 2 key zurück, in Suse keine Updates eingespielt, kann nur vom BootStick sein.
  
   mokutil --dbx   mokutil --dbx
wiki/secureboot.1711733863.txt.gz · Zuletzt geändert: 2024/03/29 18:37 von pulsar