[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
dialmak
Все заработало, в Bios выполнил "Clear all secure boot key" и "Load factory default key", заодно с помощью keytol удалил весь мусор.
Просто видимо мусор остался после экспериментов.
Попозже проверю твое обновление.
В реале важно отключить Legacy\CSM при работе MokManager.
Не отключал, ключи добавлял с включенным SecureBoot .

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz,
Не отключал, ключи добавлял с включенным SecureBoot .
Приколол.
С включенным SecureBoot ты попадаешь из Shim в MokManager, так типа задумано.
С отключенным SecureBoot ты попадаешь из Shim в rEFInd, а из него можно и запустить MokManager, добавить ключ для rEFInd и после перегрузки включить SecureBoot.
Если не отключать Legacy\CSM, то куда ты попадешь известно только разработчикам прошивки, возможно в никуда, а возможно куда-то..
Меня интересует вариант с подписью Fedora. На 5 компах из 6 он не работает, то есть в с включенным SecureBoot я из Shim в MokManager не попадаю. Естественно это, если я федоровские ключи не добавлял, то есть по дефолту от производителя. Как у тебя в реале?
Попозже проверю твое обновление.
Там просто я удалил fallback fbx64.efi ибо он дает сбой, если нет файла BOOTX64.CSV
Во 2 варианте BOOTX64.CSV присутствует и добавляет в меню NVRAM пункт 'rEFInd bootmanager', вот и все отличие их.
Он конечно интереснее ибо можно использовать отдельную папку для rEFInd плюс добавляет красивый пунктик в меню, но fallback иногда и источник проблем. Как то так..


Last edited by dialmak on 2018-11-13 15:36; edited 4 times in total

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
dialmak
59212то есть в с включенным SecureBoot я из Shim в MokManager не попадаю.
Та-же ситуация. ac

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz,
Та-же ситуация.
Не любит MS Fedora\RedHat ac
Только c Canonical дружит..

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
59212Приколол.
Я просто плохо прочитал сообщение, естественно отключал, Bios их сам выключил.
А вот в KeyTol с включенным SecureBoot не позволяет удалить ключи, а это плохо.

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
dialmak,
59214то есть в с включенным SecureBoot я из Shim в MokManager не попадаю.
Переименовал в твоем варианте Fedora mmx64.efi на MokManager.efi - все заработало ay

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz,
в твоем варианте Fedora mmx64.efi на MokManager.efi - все заработало
Ну ты монстр! Попробую..
А вот в KeyTol с включенным SecureBoot не позволяет удалить ключи, а это плохо.
В смысле? Быть этого не может. Чтоб его запустить в SecureBoot нужно добавить мой ключ в MOK лист. Вроде ж в гифке все показано..

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
dialmak,
59226Чтоб его запустить в SecureBoot нужно добавить мой ключ в MOK лист.
Если его не добавить, он вообще не запустится.
А вот на счет удаления ключей, пункта удалить при SecureBoot просто нет, без него есть.
59226Попробую..
MokManager.efi - на всякий случай соблюдай регистр в имени, хотя может это и не важно, но вызывается именно так.

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz,
А вот на счет удаления ключей, пункта удалить при SecureBoot просто нет, без него есть.
Странно. У меня везде работает. Чуть позже скину другую версию от другой конторы, посмотришь как с ним.
По регистру для EFI вроде неважно, но лучше перебдеть ;)

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz,
Ну и вот попробуй KeyTool, я его подписал. Умеет чуть больше, чем старый - запускать бинарники и добавлять\удалять хэш\ключи.
Хм. Хорошая новость. Там, где у меня MokManager из ubuntu не добавлял ключи, только мог хэш (я думал ограничение производителя), MokManager из fedora добавляет ключи прекрасно. Нужно будет перезалить все комплекты.

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
Ну и вот попробуй KeyTool, я его подписал. Умеет чуть больше, чем старый - запускать бинарники и добавлять\удалять хэш\ключи.
Другое дело, проблема
А вот на счет удаления ключей, пункта удалить при SecureBoot просто нет, без него есть.
исчезла. ay az
Нужно будет перезалить все комплекты.
Ты бы их все в шапку добавил прикрепив все файлы и убрав из остальных постов, а то разобраться сложно.
Вот моя сборка.
Attachments

[Quote]

    maanu
  • 15833
  • Longevity: 4 years 6 months
  • Posts: 97
  • REPUTATION:2

    [+] [-]
59221
59198
i was browsing wuyou , and decided to try this custom grub2 , and interestingly it works OK ( No other Grub2 version works , without Linux's Pre.Loader on my laptop )
http://bbs.wuyou.net/.....
but it does not work , in secure boot. and gives following error .
i dont know what is different in this version . may be it has something strange which my laptop likes .
Я никогда не работал с fbinst, толко с mbrostool (четыре года назад), но никак не мог в режиме EFI запускать Windows VHD на видимой части диска. Моим мнением, у вас нерасбериха (бардак) в содержании флешки
Уже раньше видел на форуме (он означает worry-free boot) это сообщение [Publish] GRUB2 Enhanced Custom Script & File Browsing Auto Menu Example Support UD, но потерял пароль и не могу скачать этот образец, буду признателен если выложите этот simple grub2.
Из скриншотов вижу всего 3 папки (boot, efi, iso), в другом - file manаger (можно скачать github a1ive file manager) - а работает все это в режиме Secure Boot сомневаюсь - где-то здесь было написано, модуль loopback неподписан или как там выражаться... А до этого даже не доходите
А, если сейчас обходитесь без refind, тупо (as dummy) переименовать efi, boot и скопировать ifl папки? Или пробовать с чистого листа
Я предпочитаю следующее: Sharing- pure hand-made U disk boot support BIOS + UEFI
i have been using FBINST , since the time of its development , early 2009 , when BEAN started it on ZNPC forums i think. it is very powerful tool , and i have yet to experience any laptop.desktop,server ,notebook , where it failed to boot via USB. some very old desktops demand USB-ZIP format , which is also supported by FBINST.
anyways , here is attachment you require. of grub2 modified. i modified build.bat to add x64 processor code.
https://www.upload.ee/files/9186910/simpleg2.zip.html
currently my usb has 1 ntfs partition , 1 EFI partition ( 1.9 GB ) and UD partition of 700 MB to hold BIOS related boot stuff.

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz, Осталось найти fallback и grub2 от fedora под этот shim. И тогда будет полный комплект. Попробовал свежий вариант из 29 - неправильно работает MokManager, нужно смотреть старый.
Ты бы их все в шапку добавил прикрепив все файлы и убрав из остальных постов, а то разобраться сложно.
В шапке есть рабочие варианты, Preloader 100% рабочий везде, Shim рабочий в 90% случаев. То что в постах - это попытки совместить несовместимое. Слишком много шатаний пока у производителей.

[Quote]

    nikzzzz
  • 215
  • Longevity: 6 years 7 months
  • Posts: 3225
  • REPUTATION:127

    [+] [-]
dialmak
Небольшой вопросик, как создать свой сертификат?
Такого батничка достаточно?
makecert -r -sv sert.pvk -n CN="RusLive" sert.cer
cert2spc.exe sert.cer sert.spc
PVKIMPRT.EXE -pfx sert.spc sert.pvk
Подписывание
signtool.exe sign /v /f sert.pfx /p xxx /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v %File%

[Quote]

    dialmak
  • 2607
  • Longevity: 5 years 7 months
  • Posts: 1054
  • REPUTATION:40

    [+] [-]
nikzzzz, Попробуй, расскажешь.. Для windows тут есть инструкция на 14 стр., но я не пробовал.
Я делал по этой инструкции
Создал ключ приватный и публичный
openssl req -new -x509 -newkey rsa:2048 -keyout ~/mysuperkey.key -out ~/mysuperkey.crt -nodes -days 3650 -subj "/CN=mysuperkey, blablabla.com/"
openssl x509 -in ~/mysuperkey.crt -out ~/mysuperkey.cer -outform DER
Далее скриптом подписываю все EFI из папки ~/MYEFI
#!/bin/bash
FILES=~/MYEFI/*.efi
for f in $FILES
do
  echo $f
  sbsign --key ~/mysuperkey.key --cert ~/mysuperkey.crt $f
done

P.S. Нашел нормальный комплект для fedora c grub2 и fallback. Тестирую..

Page 5 of 8


Display posts:    

Current time is: 20-Sep 23:06

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum