Η μητρική μου απαγορεύει το Secure Boot σε Debian και Ubuntu

Μπήκα στο BIOS της μητρικής μου και στο Secure Boot είχε κάποια απαγορευμένα κλειδιά. Προς έκπληξη μου ήταν τα παρακάτω:

Ναι, η μητρική δεν επιτρέπει την ενεργοποίηση του Secure Βοοτ για το Ubuntu και το Debian (και κατ επέκταση παράγωγες διανομές που κάνουν χρήση των υπογραμμένων πυρήνων από τις μητρικές διανομές)

Χωρίς καθυστέρηση τις έσβησα για να βρω μια ειδοποίηση με το που μπήκα στο λειτουργικό:

MSI2

Οι ενημερώσεις έκδοσης είχαν τα παρακάτω:

This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.

Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. If the installation fails, you will need to update shim and grub packages before the update can be deployed.

Once you have installed this dbx update, any DVD or USB installer images signed with the old signatures may not work correctly. You may have to temporarily turn off secure boot when using recovery or installation media, if new images have not been made available by your distribution.

Και μετά την ενημέρωση:

Το μοντέλο της μητρικής φαίνεται στις εικόνες, αλλά δεν έχει σημασία. Σύντομα θα το δούμε σε όλες.

Για να μην υπάρχουν παρεξηγήσεις: Η μητρική τρέχει Linux κανονικά με διανομή βασισμένη σε Debian. Αλλά με απετεργοποιημένο το Secure Boot.

Για χρόνια η τυπική συμβουλή για μια εγκατάσταση Linux είναι: Απενεργοποίησε το Secure Boot. Πάντα έβρισκα αυτή τη συμβουλή σαν ένα αναγκαίο κακό. Γιατί να μην μπορούμε να του κάνουμε χρήση και γιατί να έχουμε μειωμένη προστασία σε κάποιες ευπάθειες στα Windows που είναι που είναι;

Δυστυχώς, η Microsoft (που το έφτιαξε και το επέβαλε) το έχει κάνει δύσκολο και το ελέγχει. Θα μπορούσε πχ να είχε η μητρική ένα διακόπτη που να λέει: Τώρα εγκαθιστώ λειτουργικό. Δέξου τα κλειδιά που θα σου δοθούν ως έγκυρα. Ή να είχε κάθε μητρική και άλλα κλειδιά όπως πχ απο κάποιον οργανισμό Linux. Ή έστω βρε αδελφέ να τυποποιήσει τον μηχανισμό στο BIOS. Στη Microsoft μάλλον δεν πέρασε από το νου η σκέψη πως ο κόσμος ίσως να θέλει να εγκαταστήσει κάποιο άλλο λειτουργικό και θα πρέπει να το κάνουμε εύκολο. Αλλά μπορεί να κάνω λάθος :money_mouth_face:

Το grub και shim έχουν όντως προβλήματα με την ασφάλεια (ειδικά το os-prober). Κατανοώ γιατί απαγορεύτηκαν. Σκέψου το εξής σενάριο: Να έχεις ένα ασφαλές ιατρικό μηχάνημα με κλειδωμένα τα πάντα και να παραβιαστεί με το os-prober του Grub.

Μέχρι σήμερα σαν κοινότητα δεν αγαπάγαμε καθόλου το Secure Boot είναι αλήθεια και αυτό που κάναμε με το shim ήταν να το παρακάμψουμε. Η κατάσταση αλλάζει και κόσμος το κοιτάζει, αλλά θα έχουμε πολύ καλαμπόκι να καταναλώσουμε μέχρι να το δούμε αυτό στις σοβαρές διανομές.

Μέχρι τότε, αν η διανομή το υποστηρίζει και το επιτρέπει, καλό είναι να αφήσουμε πίσω το Grub (όπως ξεχάσαμε το lilo). Σήμερα δεν είναι απαραίτητο, δε θα βρεις μητρική χωρίς UEFI όσο και να προσπαθήσεις. Και τι θα βάλουμε στη θέση του; Οτιδήποτε έχει φτιαχτεί για UEFI. Προσωπικά χρησιμοποιώ το systemd-boot και έχω στο πρόγραμμα να γυρίσω τη διανομή σε secure boot κάποια στιγμή στο μέλλον.

5 «Μου αρέσει»