staging.inyokaproject.org

Hallo,

durch Verschieben der GRUB-Konfigurations- und Start-dateien ist es mir zwar gelungen, Ubuntu-32 unter EFI secure boot startfähig zu machen, doch ist dies keine stabile Lösung, falls GRUB mal über die Paketverwaltung aktualisiert werden sollte. Dabei würde meiner Einschätzung nach die bestehende Konfiguration wieder überschrieben und damit startunfähig oder vielleicht auch überhaupt nie mehr aktualisiert.

Mittels Nachinstallation des unsignierten grub-efi-amd64-Pakets würde zwar die Aktualisierungs-Sicherheit wieder hergestellt, doch müsste ich dafür im Setup EFI secure boot deaktivieren. Über die Notwendigkeit von secure boot kann man sicher streiten, ich finde es aber reizvoll, diese Möglichkeit mal auszuloten.

Mittels folgender Befehle ist es mir im weiteren unter Ubuntu-32 auch gelungen, grub-efi-amd64 durch grub-efi-amd64-signed zu überschreiben:

1
2
3
4
5
6
7
8
9

sudo dpkg --add-architecture amd64
sudo apt-get update
sudo dpkg --install Download/grub-efi-amd64-signed_1.66.2+2.02~beta2-36ubuntu3.2_amd64.deb
sudo dpkg-reconfigure grub-efi-amd64-signed
sudo grub-install
sudo apt-get install shim
sudo dpkg-reconfigure grub-efi-amd64-signed
sudo dpkg-reconfigure shim
sudo grub-install

Damit startet Ubuntu-32 nun auch wieder unter EFI secure boot.

Aber auch bei dieser Methode bezweifle ich, dass diese Konfiguration einer Aktualisierung standhält bzw. überhaupt aktualisiert wird.

Hat jemand eine Idee, wie ich grub-efi-amd64-signed + shim anstatt grub-efi-amd64 in den Paketquellen sicher "verankern" kann?

UlfZibis schrieb:

Hallo,

Hi, und an dieser Stelle auch ein Merci für das Feedback im anderen Thread 😉

Hat jemand eine Idee, wie ich grub-efi-amd64-signed + shim anstatt grub-efi-amd64 in den Paketquellen sicher "verankern" kann?

Das Einzige, was mir dazu noch einfällt, ist der im anderen Thread bereits erwähnte stand-alone-grub → Stichwort black_tencate.

Frieder108 schrieb:

Hi, und an dieser Stelle auch ein Merci für das Feedback im anderen Thread 😉

Gern geschehen.

Hat jemand eine Idee, wie ich grub-efi-amd64-signed + shim anstatt grub-efi-amd64 in den Paketquellen sicher "verankern" kann?

Das Einzige, was mir dazu noch einfällt, ist der im anderen Thread bereits erwähnte stand-alone-grub → Stichwort black_tencate.

Nach so einer Anleitung hatte ich alternativ auch schon gesucht. Danke für den wiederholten Hinweis. Schade, dass sie für EFI noch nicht ausgearbeitet ist. Ich werde es aber auch deshalb nicht versuchen, da damit ein regelmäßiges Update ja auch nicht gewährleistet ist. Also verzichte ich erst mal auf secure boot solange da keine bessere bzw. elegantere Lösung auftaucht.

UlfZibis schrieb:

Hat jemand eine Idee, wie ich grub-efi-amd64-signed + shim anstatt grub-efi-amd64 in den Paketquellen sicher "verankern" kann?

Ich habe nun doch noch einen "offiziellen" Weg herausgefunden, der wohl Aktualisierungs-sicher ist, um secure boot zu ermöglichen:

sudo dpkg --add-architecture amd64
sudo apt-get update
sudo apt-get install grub-efi-amd64-signed
sudo grub-install 

Der efibootmgr funktioniert dann aber leider immer noch nicht. Das liegt schlicht und ergreifend daran, dass der Linux 32-Bit Kernel das Dateisystem efivarfs nicht unterstützt, denn folgendes geht nicht:

sudo mount -t efivarfs efivarfs /sys/firmware/efi/efivars 

Optional kann man auch noch ...

sudo apt-get install shim-signed 

installieren.

Eine unschönere Variante wäre, via Apt-Pinning grub-Updates zu blocken. Fiel mir zu deinem Schlagwort "verankern" ein.

Benno-007 schrieb:

Eine unschönere Variante wäre, via Apt-Pinning grub-Updates zu blocken. Fiel mir zu deinem Schlagwort "verankern" ein.

Dann könnte ich aber die parallel installierte Ubuntu 64-Bit-Installation nicht löschen, oder müsste gänzlich auf Sicherheits-Updates für GRUB verzichten.

Mit ein wenig Glück geht das dann auch irgendwann mal out-of-the-box, also fleißig This bug affects you anklicken.

Was ich noch vergessen hatte:
In der /etc/fstab muss man vorher noch

# /boot/efi was on /dev/sda1 during installation
UUID=ABCD-4321  /boot/efi       vfat    umask=0077      0       1

ergänzen, sonst ist das EFI-Bootverzeichnis nicht zugreifbar.

Hier noch ein Weg allein mit dem 32-Bit Image, den ich neu in's Wiki geschrieben habe.:

https://wiki.ubuntuusers.de/EFI_Installieren/#Installation-von-32-Bit-Ubuntu-auf-EFI-System

UlfZibis schrieb:

Hier noch ein Weg allein mit dem 32-Bit Image, den ich neu in's Wiki geschrieben habe.:

https://wiki.ubuntuusers.de/EFI_Installieren/#Installation-von-32-Bit-Ubuntu-auf-EFI-System

Könntest du denn auch in der Diskussion des Wikiartikels deine Änderungen kundtun? So auf den ersten Blick gibt es da sicherlich einiges zu verbessern.

Hier gibt es nun eine Anleitung zum Thema.