3.19.0-65は14.04 LTSに新しいセキュアブート要件を導入しましたか?


10

私のラップトップには14.04(Trusty Tahr)LTSが付属しています。それ以来、大きな変更は行わず、通知があった場合は常に更新を適用しています。

2016年7月15日、私は通常通りアップデートを適用していたので、そう思っていました。この「Debconf」ポップアップが表示されたとき、「ソフトウェアアップデーター」ポップアップウィンドウは「シム署名の構成」まで到達していましたスクリーンショット。内容は添付のテキストに詳しく説明されています。

あなたがそれを見ることができるように:

  • 大きな文字で「セキュアブートの構成」と言う
  • 「UEFIセキュアブートを無効にしますか?」チェックボックス(チェックボックス)
  • 「ヘルプ」ボタンがあります
  • 「進む」ボタンがあります

私はこれを見たことがありません。スクリーンショットを撮る前に「ヘルプ」ボタンをクリックすると、3番目のポップアップが表示されます。

ポップアップテキストのヘルプ

誰かがこれらのフレーズのいずれかで検索する場合に備えて...

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

後続のステップ

私が正しく覚えていれば、 ...

  • しばらくして「UEFIセキュアブートを無効にする」に同意し、「転送」ボタンをクリックしました。
  • これにより、パスワードを設定する(2回入力する)ウィンドウが直接表示されました。
  • 更新プロセスは通常の方法で終了し、ポップアップで再起動するタイミングを尋ねられます。
  • その後すぐに再起動しました。
  • 起動プロセス中に、「mokを設定するには任意のキーを押してください」などのブルースクリーンが表示されました。
  • キーを押しました。
  • 5分前に設定したパスワードの入力を求められるのではなく、予想していたように、ラップトップは通常の方法ですばやく起動しました。
  • 通常通りUbuntuにログインしました。
  • Wi-Fiアダプターが機能していませんでした。
  • VirtualBox VMを起動できませんでした。エラーは「カーネルドライバーがインストールされていません」でした。
  • 他のさまざまな問題。
  • もう一度再起動しようとしましたが、青い「mokの設定」画面は二度と表示されませんでした。
  • 私の現在のカーネルは3.19.0-65だったことに気付きました
  • だから私は再起動し、grubを使用して3.19.0-64を選択しました
  • すべてが再び正常に機能していました。

私の研究ノート

注01-BIOS設定を調べました(このラップトップで初めて)。セキュアブートが有効になっているようです。「Debconf」がUEFIセキュアブートの無効化に成功した場合、それはBIOS設定に反映されましたか?

Note02-私のラップトップはDell XPS 13であり、他の人々はDellハードウェア上の3.19.0-65に関する問題報告しています。

注03- USN-3037-1のアップデート手順では、3.19.0-65にアップグレードするように言われています。最後の段落は:

注意:避けられないABIの変更により、カーネルアップデートには新しいバージョン番号が付与されています。これには、インストールした可能性のあるすべてのサードパーティのカーネルモジュールを再コンパイルして再インストールする必要があります。標準のカーネルメタパッケージ(linux-generic、linux-generic-lts-RELEASE、linux-virtual、linux-powerpcなど)を手動でアンインストールしない限り、標準のシステムアップグレードでも自動的にこれが実行されます。

(私は単なるユーザーであり、これをよく理解していません。常に新しいバージョン番号を取得する必要はありませんか?また、常に再コンパイルおよび再インストールする必要はありません-DKMSまたは何かによって管理されるプロセス?)

注04-3.19.0-65.73の変更ログには、影響を与える変更EFI_SECURE_BOOT_SIG_ENFORCEや、CONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

注05-私のカーネルバージョンは3.19 なので、ここの表のように、trusty linux-lts-vivid LTS有効化スタック(??)にいる必要があると思います。現在、3.19.0-65.73が最新のエントリです。

注06- trusty linux-lts-wilyLTS有効化スタック(カーネルバージョン4.2)を使用しているユーザーが、私の前の日に同じポップアップを表示した可能性がありますが、その後問題発生することはありません。

注07- 2016年4月から回答があります:

Ubuntu 16.04では、Ubuntuがカーネルレベルへのセキュアブートの適用を開始します。16.04より前のバージョンでは、セキュアブートがオンになっていても、Ubuntuは署名済みカーネルと署名済みカーネルモジュールの使用を強制しません。

2016年7月にUbuntuが14.04 LTSに新しいセキュアブート要件を導入したのでしょうか。 そうでない場合、3.19.0-65で私が抱えている問題何ですか?そしてどちらにせよ、私(そして問題を抱えている他の人々)はそれについて何をすべきでしょうか?

ありがとう!


1
+1ちょうどあなたがこの質問に入れた仕事と情報の量のために。起こったすべてのステップバイステップの指示。これは、私の意見では良い質問のように見えるはずです。
パルト2016

1
私はあの人です(注6)。これは、3つの方法の選択に要約されます。セキュアブートをオフにする(かなり簡単)、サードパーティのドライバー機能を失う(許容できない)、またはドライバーに自分で署名する(超複雑)。システムはセキュアブートをオフにするのを助けようとしましたが、それはあなたの場合には機能しませんでした...それは私のものでした。
オーガニック大理石

回答:


2

あなたは正しいです。Canonical Kernel Teamは、新しい3.19 UbuntuカーネルでEFI_SECURE_BOOT_SIG_ENFORCEを有効にしました。

これにより、署名されていないサードパーティのカーネルモジュールが読み込まれなくなります。

セキュアブートを無効にするのに役立つはずのGUI付きのスクリプトがあるようです。

それはあなたの場合には機能しませんでした。これは、コンピューターの特定のUEFI実装によって異なります。

ただし、UEFI設定でセキュアブートを無効にするだけで済みます。

この回答と以下のコメントを参照してください。


ありがとう。リンクされた回答には、オプションとして「mokutil --disable-validation」が記載されています。最初に試してみる価値はありますか?または自分でモジュールに署名しますか?(またはそれは私が調査して自分で決めなければならないものですか?セキュアブートを有効にしておくことでどのくらいのメリットがありますか?)
Peter Ford

最も簡単な方法は、セキュアブートを無効にし、無効のままにすることです。その愚かなMicrosoftセキュアブート機能には利点はありません。
Pilot6

セキュアブートを無効にすると、また、Dellの推奨ソリューションです:en.community.dell.com/techcenter/os-applications/f/4613/p/...私は戻ってくると私はそれを試してみたとき、ここに投稿します。
ピーターフォード

2

セキュアブートの実行を無効にすることもできsudo update-secureboot-policyます。このwikiページはこの方法を説明しています。


ありがとう。そのWikiページも、私の質問に対する回答が「はい、意図的に」であるという公式の確認に最も近いようです。私のマシンでは「update-secureboot-policy」がアップデートプロセスの一部として実行されたと思います。その結果、私の質問で説明したエクスペリエンスが得られました。そして、何らかの理由でセキュアブートを無効にできず、その失敗を処理したり、状況を説明したりできませんでした。
Peter Ford
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.