3.19.0-65 ​​introduziu novos requisitos de inicialização segura para 14.04 LTS?

10

Meu laptop veio com 14.04 (Trusty Tahr) LTS. Desde então, não fiz alterações significativas e aplico atualizações sempre que fui notificado sobre elas.

Em 15/07/2016, eu estava aplicando atualizações normalmente, ou assim eu pensava. A janela pop-up "Software Updater" chegou até "Configurando shim-assinado", quando recebi o pop-up "Debconf" : Captura de tela, cujo conteúdo é descrito detalhadamente no texto que o acompanha.

Como você pode ver:

  • diz "Configurando a inicialização segura" em letras grandes
  • possui "Desativar inicialização segura do UEFI?" caixa de seleção (caixa de seleção)
  • tem um botão "Ajuda"
  • tem um botão "Avançar"

Eu nunca vi isso antes. Cliquei no botão "Ajuda" antes de fazer a captura de tela, que exibia o terceiro pop-up que você pode ver.

Texto pop-up de ajuda

Caso alguém procure por alguma dessas frases ...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

Passos subsequentes

Se eu me lembro bem, ...

  • Depois de um tempo, concordei em "Desativar UEFI Secure Boot" e cliquei no botão "Encaminhar".
  • Isso me levou diretamente a uma janela onde eu configurei uma senha (digitando-a duas vezes).
  • O processo de atualização terminou da maneira normal, com um pop-up me perguntando quando reiniciar.
  • Eu reiniciei logo depois.
  • Durante o processo de inicialização, havia uma tela azul dizendo algo como "pressione qualquer tecla para configurar o mok".
  • Eu pressionei uma tecla.
  • Em vez de ser solicitado a fornecer a senha que eu configurei 5 minutos antes, como eu esperava, o laptop inicializou rapidamente da maneira normal.
  • Eu entrei no Ubuntu normalmente.
  • O adaptador Wi-Fi não estava funcionando.
  • Não consegui iniciar as VMs do VirtualBox. O erro foi "Driver do kernel não instalado".
  • Vários outros problemas.
  • Tentei reiniciar novamente, mais de uma vez, mas nunca vi a tela azul "configure mok" novamente.
  • Notei que meu kernel atual era 3.19.0-65
  • Então, reiniciei e usei o grub para selecionar 3.19.0-64
  • Tudo estava funcionando bem novamente.

Minhas notas de pesquisa

Nota01 - Procurei nas configurações do meu BIOS (pela primeira vez neste laptop). Inicialização segura parece estar ativada. Se o "Debconf" tivesse sido bem-sucedido na desativação do UEFI Secure Boot, isso teria se refletido nas configurações do BIOS?

Nota02 - Meu laptop é um Dell XPS 13 e outras pessoas estão relatando problemas com o 3.19.0-65 ​​no hardware da Dell.

Nota03 - As instruções de atualização para USN-3037-1 dizem atualizar para 3.19.0-65. O parágrafo final é:

ATENÇÃO: Devido a uma alteração inevitável da ABI, as atualizações do kernel receberam um novo número de versão, o que requer que você recompile e reinstale todos os módulos do kernel de terceiros que você possa ter instalado. A menos que você desinstale manualmente os metapacotes padrão do kernel (por exemplo, linux-generic, linux-generic-lts-RELEASE, linux-virtual, linux-powerpc), uma atualização padrão do sistema também executará isso automaticamente.

(Sou apenas um usuário e realmente não entendo isso. Não obtemos sempre um novo número de versão? E nem sempre precisamos recompilar e reinstalar - um processo gerenciado pelo DKMS ou algo assim?)

Nota04 - O registro de alterações de 3.19.0-65.73 tem muitos problemas de UEFI, incluindo alterações que afetam EFI_SECURE_BOOT_SIG_ENFORCEeCONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Nota05 - Como minha versão do kernel é 3.19, presumo que devo estar na trusty linux-lts-vivid pilha de ativação do LTS (??), conforme a tabela aqui , onde 3.19.0-65.73 é atualmente a entrada mais recente.

Nota06 - Parece que alguém que está na trusty linux-lts-wilypilha de ativação do LTS (versão 4.2 do kernel) pode ter recebido os mesmos pop-ups, um dia antes de mim, mas sem encontrar problemas subseqüentes .

Nota07 - Há uma resposta de abril de 2016 que diz:

No Ubuntu 16.04, o Ubuntu começa a forçar a inicialização segura no nível do kernel. Antes do 16.04, o Ubuntu realmente não o obrigava a usar o kernel assinado e os módulos do kernel assinado, mesmo com a inicialização segura ativada.

Será que agora, em julho de 2016, o Ubuntu introduziu novos requisitos de inicialização segura para o 14.04 LTS? Caso contrário, qual é o problema que estou tendo com 3.19.0-65? De qualquer forma, o que devo fazer (e as outras pessoas com problemas) a respeito?

Obrigado!

Peter Ford
fonte
1
+1 Apenas pela quantidade de trabalho e informações que você colocou nesta pergunta. Instruções passo a passo de tudo o que aconteceu. É assim que uma boa pergunta deve parecer na minha opinião.
Parto
1
Eu sou essa outra pessoa (nota 6). Isso se resume a uma opção de três maneiras: desativar a inicialização segura (bastante fácil), perder a funcionalidade do driver de terceiros (inaceitável) ou assinar os drivers você mesmo (super complicado). O sistema tentou ajudá-lo a desativar a inicialização segura, mas não funcionou no seu caso ... funcionou no meu.
Organic Marble

Respostas:

2

Você está certo. A equipe de kernel da Canonical ativou EFI_SECURE_BOOT_SIG_ENFORCE no novo kernel do Ubuntu 3.19.

Isso impede o carregamento de módulos de kernel de terceiros não assinados.

Parece que existe um script com GUI que deve ajudar a desativar a Inicialização Segura.

Não funcionou no seu caso. Depende da implementação específica da UEFI no seu computador.

Mas você pode simplesmente desativar a Inicialização Segura nas configurações da UEFI.

Veja esta resposta e comentários abaixo.

Pilot6
fonte
Obrigado. A resposta vinculada menciona "mokutil - validação desativável" como uma opção. Vale a pena tentar primeiro? Ou assinando os módulos eu mesmo? (Ou é algo que eu tenho para pesquisar e decidir por mim mesmo; quanto benefício que recebo de manter seguro de inicialização ativado?)
Peter Ford
A maneira mais fácil é desabilitar o Secure Boot e deixá-lo desabilitado. Não há nenhum benefício nesse recurso estúpido do Microsoft Secure Boot.
Pilot6
Desativar o Secure Boot também é a solução recomendada da Dell: en.community.dell.com/techcenter/os-applications/f/4613/p/… Voltarei e publicarei aqui quando tiver tentado.
22416 Peter
2

Você também pode desativar a execução do Secure Boot sudo update-secureboot-policy. Esta página da wiki explica esse método.

Ara Pulido
fonte
Obrigado. Essa página wiki também parece ser a mais próxima que eu já vi de uma confirmação oficial de que a resposta para minha pergunta é "sim, deliberadamente". Eu acho que "update-secureboot-policy" foi executado na minha máquina como parte do processo de atualização, resultando na experiência que descrevi na minha pergunta. E, por algum motivo, não conseguiu desativar o Secure Boot e não conseguiu lidar com essa falha ou me explicar a situação.
Peter Ford