staging.inyokaproject.org

Situation:

Der grafische Systempfleger nervt mich wiederholt mit dem Hinweis, ich solle eine Software "UEFI dbx" aktualisieren. Der Text faselt, das es sich um etwas „von Microsoft bereitgestellt“ in der Version 217 handeln würde und die installierte Version wäre 84.

• Es gibt kein meinem System bekanntes Paket mit den Namensbestandteilen UEFI oder dbx, egal in welcher Schreibweise. Geprüft mit dpkg.

• Es gibt Pakete mit diesen Begriffen in der Beschreibung:

  $ dpkg --list | grep -i -e uefi -e dbx
  ii  libefiboot1:amd64                               37-2ubuntu2.2                               amd64        Library to manage UEFI variables
  ii  libefivar1:amd64                                37-2ubuntu2.2                               amd64        Library to manage UEFI variables
  ii  sbsigntool                                      0.9.2-2ubuntu1.1                            amd64        Tools to manipulate signatures on UEFI binaries and drivers
  ii  secureboot-db                                   1.5                                         amd64        Secure Boot updates for DB and DBX

  Jedoch sind diese und überhaupt alle Pakete in meinem System aktuell:

• $ sudo apt update | tail -n 2
  
  WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
  
  Statusinformationen werden eingelesen....
  Alle Pakete sind aktuell.

• Der Firmware-Updater liefert schließlich:

  $ fwupdmgr --json get-devices | grep -e '"Name"' -e '"Description"' -e '"Version"'
  WARNING: UEFI capsule updates not available or enabled in firmware setup
  […]
        "Name" : "UEFI dbx",
        "Version" : "84",
            "Name" : "Secure Boot dbx",
            "Description" : "<p>This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.</p><p>Before installing the update, fwupd will check for any affected executables in the ESP and will refuse to update if it finds any boot binaries signed with any of the forbidden signatures. If the installation fails, you will need to update shim and grub packages before the update can be deployed.</p><p>Once you have installed this dbx update, any DVD or USB installer images signed with the old signatures may not work correctly. You may have to temporarily turn off secure boot when using recovery or installation media, if new images have not been made available by your distribution.</p>",
            "Version" : "217",
            "Name" : "Secure Boot dbx",
            "Description" : "<p>This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.</p>",
            "Version" : "211",
            "Name" : "Secure Boot dbx",
            "Description" : "<p>This updates the dbx to the latest release from Microsoft which adds insecure versions of grub and shim to the list of forbidden signatures due to multiple discovered security updates.</p>",
            "Version" : "190",

  l

Es geht also um Signaturkram für "Secure Boot". Das betrifft mich nicht, weil ich es auf diesem Rechner nicht verwende. Vielleicht sollte ich die Firmware trotzdem irgendwann aktualisieren.

Mein Problem:

Zunächst plagt mich aber die Frage, wieso der grafische Systempfleger etwas aktualisieren will, und ich unterstelle mal: auch kann, was offenbar am regulären APT-Paketsystem vorbei geht. Weiß jemand dazu mehr?

Hallo kb,

es beantwortet Deine Frage zwar glaube ich nicht zu 100%, aber die beiden folgenden Seiten hast Du auch schon gelesen?:

https://wiki.archlinux.org/title/Fwupd ← Das erklärt IMO, warum sich fwupd über GUI meldet.

https://github.com/fwupd/fwupd/wiki/Blocked-executable-in-the-ESP,-ensure-grub-and-shim-are-up-to-date ← Klingt für mich so, als wären halt in fwupd (Sicherheits)mechanismen integriert, die auf anderem Wege erst wieder neu programmiert werden müssten?! Wenn man Secure Boot aktiviert hätte, dann hätte man ja schon ein Interesse daran, dass die dbx Dateien nicht einfach so ausgetauscht werden können.

Klärt Deine Frage zwar IMO auch nicht ganz abschließend, aber im Detail habe ich dazu auch noch nicht weiter recherchiert.

LG, Newubunti

EDIT:

Hier habe ich noch etwas zu dem Vorgang gefunden:

https://blogs.gnome.org/hughsie/2020/08/17/updating-secure-boot-dbx-with-fwupd-and-the-lvfs/

WARNING: UEFI capsule updates not available or enabled in firmware setup

Ich habe den Dienst fwupd entfernt, das mache ich lieber manuell.

Mir ist jetzt aber auch nicht klar, ob das nicht funktioniert, weil du secure deaktiviert hast, oder ob das Update verhindert wird, weil das Grub von 20.04. "veraltet" ist. Der Hinweis ist im Prinzip eindeutig.

Mit etwas "Glück" schrottet man so sein System? UEFI neu (Schlüssel), Grub alt - kein Boot ... 🤣

hakel2022 schrieb:

Ich habe den Dienst fwupd entfernt, das mache ich lieber manuell.

Man könnte in dem Fall aber auch einfach das uefi_dbx-plugin über die /etc/fwupd/daemon.conf deaktivieren und anschließend fwupd.service neu starten. Das wäre dann die gezieltere Vorgehensweise - wenn man den Firmware-Updater gezielt trotzdem nutzen will, die dbx-Updates aber gar nicht braucht.

Mit etwas "Glück" schrottet man so sein System? UEFI neu (Schlüssel), Grub alt - kein Boot ... 🤣

Nein, im Normalfall nicht. Das dbx-Update wird - zumindest in neueren Versionen - nur nach Prüfung der auf der ESP befindlichen Binaries durchgeführt. Siehe z.B.:

https://github.com/fwupd/fwupd/issues/5121

Und das ist auch in Ubuntu so, siehe z.B.:

https://askubuntu.com/questions/1432494/trouble-ubuntu-update-firmware-uefi-dbx-217

LG, Newubunti

Vielen Dank für die bisherigen Beiträge, die mir helfen fwupd & Co. besser zu verstehen.

In diesem Thread geht es mir nicht um Fragen, ob es sinnvoll oder gefährlich ist, diese Aktualisierung durchzuführen, oder wie man es konkret macht oder verhindert, etc.

Vielmehr geht es mir um den Mechanismus, der Veränderungen an APT vorbei ermöglicht.

Warum kann die GUI mehr machen als apt update/upgrade? Hat der fwupd einen eigenen Kanal, um sich aus dem Internet mit Informationen zu versorgen? Oder wie arbeitet er mit APT zusammen?

kB schrieb:

Vielmehr geht es mir um den Mechanismus, der Veränderungen an APT vorbei ermöglicht. ... Warum kann die GUI mehr machen als apt update/upgrade? Hat der fwupd einen eigenen Kanal, um sich aus dem Internet mit Informationen zu versorgen? Oder wie arbeitet er mit APT zusammen?

Hallo kb,

also der Mechanismus ist nach meinem Verständnis so, dass fwupd für Hersteller eine Schnittstelle bietet, die es Ihnen erlaubt, Gerätefirmware(komponenten) aus einem laufenden Linux heraus zu installieren - ähnlich wie es unter z.B. Windows mit den Firmware-Update-exe verschiedener Hersteller möglich ist, z.B. eine UEFI-Firmware-Update aus Windows heraus anzustoßen.

Zum Herunterladen der Firmware-Dateien kann dazu nach meinem Verständnis eine entsprechende Konfiguration in /etc/fwupd/remotes.d abgelegt werden, wobei die dortigen - zumindest bei mir - bestehenden Konfigs zunächst mal wiederum auf /usr/share/fwupd/remotes.d/... verweisen. Wie die Konfiguration zu den jeweiligen Remote-Servern im Detail aussieht/aussehen kann, kannst Du der Datei /usr/share/fwupd/remotes.d/vendor/firmware/README.md entnehmen.

Diese Kanäle sind dann zwar an apt vorbei, das wären sie aber bei allen anderen möglichen Methoden - also Download und Installation aus Windows heraus oder Download und Installation aus dem UEFI-Setup heraus - ja auch.

Wenn Du die Installation von Firmware über apt realisieren wolltest, dann müssten die Hersteller die Firmware ja in entsprechenden Paketen bereitstellen. Und ich denke wir sind uns beide einig darüber, dass das in absehbarer Zeit nicht passieren wird. Man kann ja selbst unter Windows froh sein, wenn sich Hersteller zu einer vernünftigen Firmwarepflege herablassen. Zumal da IMO auch Lizenzrechtliche Probleme mit hineinspielen könnten. Aber selbst wenn es keine Lizenzrechtlichen Probleme gibt, kann ich mir Gerätefirmware über apt verteilt schlecht vorstellen.

Warum kann die GUI mehr machen als apt update/upgrade?

Kannst Du noch ein wenig ausführen, inwiefern Du hier ein "mehr machen" erkennst?

LG, Newubunti

EDIT: Fix Typo in /usr/share/fwupd/remotes.d/vendor/firmware/README.md

Welche Konfigs sind denn bei Dir eigentlich unter /etc/fwupd/remotes.d? Ich frage deswegen, weil ich hier gerade nur eine VM mit UEFI-Secure-Boot habe und die ist halt für die Beurteilung von Firmware-Geschichten nur bedingt aussagefähig.

Und was ich noch anmerken wollte, die Installation vor Firmware muss nicht zwangsläufig an apt vorbei sein. Die Firmware kann grundsätzlich auch über apt bereitgestellt werden und dann in fwupd über uri file angesprochen werden.

Ich finde den Mechanismus recht einfach, aber vielleicht verstehe ich deine Sichtweise nicht.

https://fwupd.org/

Die Firmen/Vendor haben da einen account und der Dienst klappert das ab, download, flashen. Der Unterschied zu Windows ist, daß man nicht einzelne proprietäre Clients benötigt. Eine gute Sache für die Firmen und den Nutzer meiner Meinung nach.