Вход
Регистрация
|
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой"){kind=icon}
Отправлено:
|
offtop SBAT104921происходит обновление NVRAM ПК с повышением уровня SBAT policy Может вам будет полезно? PS Я понимаю, что вас в гугле не забанили, но вдруг случайно пригодится?  Комментарий от Ander_73104945А вот сбросить через mokutil не получается (Failed to set SBAT Policy). |
|
stea.61,
 У меня старый ноут Dell (i3 второе или третье поколение, 2012 год по-моему). Там стоит Вин 11 (26100) в СекуреБут (!!!). Я там всегда запускал свою связку shim+grub для тестов флешки. И в этот раз для теста LMDE точно так же. Но моя связка не запускает LMDE в СекуреБут (у меня ЦП Каноникал, а тут Дебиан), и я решил запустить "твою" связку через свою. То есть из своего ГРУБ стартанул shim из LMDE. И вот там я не успел ничего понять как ноут выключился! Ну, не стартанул shim, бывает. Включаю снова, гружусь с флешки и... всё. Verifying shim SBAT data failed: Security policy violation "Твоя" связка из LMDE стартует норм. Винда грузится норм. Попытки сбросить через mokutil дают fail. В общем, неизбежное случилось. Всё равно эта "боротьба за секурность" меня бы накрыла рано или поздно (это к вопросу старых загрузчиков). После долгих ковыряний, пришел к выводу, что дело только в shim (bootx64.efi). Если в моей связке обновить только сам shim, то загрузка возобновляется! Да и в "твоей" связке сам ГРУБ 2023 года, даже старее, чем мой. А вот твой shim прям свежак! И я думаю, это именно он пишет в фирмвару. Но это имхо, конечно. Тут самый стрём, что никто не ожидает такого поведения от загрузчика! |
|
stea.61,
. Жень у меня тоже старый Dell 2012 года Latitude E4310. Может мне тоже проверить данную связку. При условии, что Ander_73, мне выдаст свою связку.
|
|
vovan1982,
Впиши в grub.cfg путь к bootx64.efi из LMDE Ну, надеюсь, не надо уточнять, что грузимся в режиме СекуреБут  Скачать |
|
104954Может мне тоже проверить данную связку.  Ну, не знаю... С одной стороны, гипотезу проверить то и не помешает, а с другой стороны, тебе проблема может добавиться... Смотри сам. PS Попробовал повторить у себя ситуацию с первым "в цепи" GRUB от CMS - все норм, загрузился без проблем и последствий. Правда, похоже, что у меня SB на обоих ноутах не очень то и "секурный" - в BIOS установлен в "enabled", a mokutil в загруженной системе показывает "status disabled". ...? |
|
stea.61,
Настоящая секурность: моя "связка" при попытке запустить LMDE (напрямую linux/initrd) как раз говорит, что "bad signature" (не помню дословно). И это правильно, потому что шим из моей "связки" разрешает ЦП от Каноникал, а ядро LMDE подписано Дебиан. |
|
104965Настоящая секурность (хотя я в них ничего не ломал) - GRUB от CMS (ЦП Canonical) без проблем и "последствий" грузит LMDE и "прямо" и по цепи с GRUB от LMDE...Примечательно то, что заблоченный MS GRUB от KRD-2018 оба ноута блокируют... ...? |
|
104966Примечательно то, что заблоченный MS GRUB от KRD-2018 оба ноута блокируют 104962mokutil в загруженной системе показывает "status disabled". 
|
|
104967и... эта... да! !!! Fix-Test !!! Немного изменил схему загрузки LMDE-VD. Просьба ко всем, у кого имеет/имела место остановка загрузки системы, протестить измененный initrd - initrd_mod. Спасибо. |
|
stea.61,
Докладываю по загрузчикам. Я таки сумел сбросить SBAT и вот итоги: - если в моей связке shim+grub обновить только сам shim (я взял из ubuntu-24.10-live-server) ЦП MS от 17.09.2024, то ничего в системе не меняется (SBAT policy остаётся прежним) и старая связка продолжает грузиться без проблем. - сам факт запуска связки shim+grub из LMDE меняет SBAT policy! И теперь "старый" shim вызывает выключение ПК. То есть предположение 104953использование "цепи" с разными ЦП воспринимается, как попытка атаки/обхода |
|
Ander_73,
. Я вчера ночью закончил эксперименты с LMDE и твоей связкой. Мой бук ни в какую не хочет грузить в EFI если не установлена система или диск не отформатирован в GPT.Результат как и у тебя. |
|
104980сам факт запуска связки shim+grub из LMDE меняет SBAT policy Спасибо за информацию, из которой, похоже, следует, что для публичной сборки лучше перейти на дистр на основе Ubuntu от Canonical, хотя Debian лично мне мне нравится больше. |
Страница 4 из 6
Текущее время: 05-Фев 15:54
Часовой пояс: UTC + 3
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы |