[Quote]

    UserX
  • 667
  • Longevity: 9 years 9 months
  • Posts: 852
  • REPUTATION:40

    [+] [-]

offtop SBAT

104921происходит обновление NVRAM ПК с повышением уровня SBAT policy
Вот тут, написано, что, вроде, можно удалить обновление SBAT.
Может вам будет полезно?
PS
Я понимаю, что вас в гугле не забанили, но вдруг случайно пригодится? ah

Comment from Ander_73


104945А вот сбросить через mokutil не получается (Failed to set SBAT Policy).

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104921При загрузке пары shim + grub (bootx64.efi + grubx64.efi c ЦП Debian от 4.10.2023) из архива LMDE-VD.zip происходит обновление NVRAM ПК с повышением уровня SBAT policy. После чего старые EFI-загрузчики в режиме Secure Boot отвергаются.
Спасиб за инфо.
Я у себя на двух ноутах такого не наблюдаю, но, правду сказать, они у меня уже "не первой свежести".
Получается дилемма.
Поделитесь мнением - стоит ли комплектовать систему более старым загрузчиком?

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3916
  • REPUTATION:127

    [+] [-]
stea.61, aa
У меня старый ноут Dell (i3 второе или третье поколение, 2012 год по-моему). Там стоит Вин 11 (26100) в СекуреБут (!!!).
Я там всегда запускал свою связку shim+grub для тестов флешки. И в этот раз для теста LMDE точно так же. Но моя связка не запускает LMDE в СекуреБут (у меня ЦП Каноникал, а тут Дебиан), и я решил запустить "твою" связку через свою. То есть из своего ГРУБ стартанул shim из LMDE. И вот там я не успел ничего понять как ноут выключился! Ну, не стартанул shim, бывает. Включаю снова, гружусь с флешки и... всё. Verifying shim SBAT data failed: Security policy violation
"Твоя" связка из LMDE стартует норм. Винда грузится норм. Попытки сбросить через mokutil дают fail.
В общем, неизбежное случилось. Всё равно эта "боротьба за секурность" меня бы накрыла рано или поздно (это к вопросу старых загрузчиков).
После долгих ковыряний, пришел к выводу, что дело только в shim (bootx64.efi). Если в моей связке обновить только сам shim, то загрузка возобновляется!
Да и в "твоей" связке сам ГРУБ 2023 года, даже старее, чем мой. А вот твой shim прям свежак! И я думаю, это именно он пишет в фирмвару. Но это имхо, конечно.
Тут самый стрём, что никто не ожидает такого поведения от загрузчика!

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104952Тут самый стрём, что никто не ожидает такого поведения от загрузчика!
Ну, так и я про то же.
Это, похоже, результат адаптации shim к августовской обнове SB от Windows.
104952... решил запустить "твою" связку через свою. То есть из своего ГРУБ стартанул shim из LMDE.
А может, в этом причина такой реакции, т.е. при загрузке одним "новым" shim (мой случай) ничего "криминального" не происходит, а использование "цепи" с разными ЦП воспринимается, как попытка атаки/обхода, с результатом в виде "Verifying shim SBAT data failed: Security policy violation"?

[Quote]

    vovan1982
  • 214
  • Longevity: 10 years
  • Posts: 1139
  • REPUTATION:78

    [+] [-]
  • Location: Ростов-на-Дону
stea.61, aa. Жень у меня тоже старый Dell 2012 года Latitude E4310. Может мне тоже проверить данную связку. При условии, что Ander_73, мне выдаст свою связку.

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3916
  • REPUTATION:127

    [+] [-]
vovan1982, aa
Впиши в grub.cfg путь к bootx64.efi из LMDE
Ну, надеюсь, не надо уточнять, что грузимся в режиме СекуреБут ab
Скачать

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104954Может мне тоже проверить данную связку.
Приветствую, Владимир. fr
Ну, не знаю... ab
С одной стороны, гипотезу проверить то и не помешает, а с другой стороны, тебе проблема может добавиться...
Смотри сам.
PS Попробовал повторить у себя ситуацию с первым "в цепи" GRUB от CMS - все норм, загрузился без проблем и последствий.
Правда, похоже, что у меня SB на обоих ноутах не очень то и "секурный" - в BIOS установлен в "enabled", a mokutil в загруженной системе показывает "status disabled".
...?

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3916
  • REPUTATION:127

    [+] [-]
stea.61, aa
Настоящая секурность: моя "связка" при попытке запустить LMDE (напрямую linux/initrd) как раз говорит, что "bad signature" (не помню дословно). И это правильно, потому что шим из моей "связки" разрешает ЦП от Каноникал, а ядро LMDE подписано Дебиан.

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104965Настоящая секурность
Ну, получается, что у меня ни на ASUS, ни на Lenovo правильной секурности нет ah (хотя я в них ничего не ломал) - GRUB от CMS (ЦП Canonical) без проблем и "последствий" грузит LMDE и "прямо" и по цепи с GRUB от LMDE...
Примечательно то, что заблоченный MS GRUB от KRD-2018 оба ноута блокируют...
...?

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3916
  • REPUTATION:127

    [+] [-]
104966Примечательно то, что заблоченный MS GRUB от KRD-2018 оба ноута блокируют
То есть dbx отрабатывается, а
104962mokutil в загруженной системе показывает "status disabled".
и... эта... да! ai

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104967и... эта... да!
Сам в недоумении... Никогда особо не задумывался над SB на своих ноутах, т.к. дома это мне не нужно, и вот... ah
!!! Fix-Test !!!
Немного изменил схему загрузки LMDE-VD.
Просьба ко всем, у кого имеет/имела место остановка загрузки системы, протестить измененный initrd - initrd_mod.
Спасибо.

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3916
  • REPUTATION:127

    [+] [-]
stea.61, aa
Докладываю по загрузчикам.
Я таки сумел сбросить SBAT и вот итоги:
- если в моей связке shim+grub обновить только сам shim (я взял из ubuntu-24.10-live-server) ЦП MS от 17.09.2024, то ничего в системе не меняется (SBAT policy остаётся прежним) и старая связка продолжает грузиться без проблем.
- сам факт запуска связки shim+grub из LMDE меняет SBAT policy! И теперь "старый" shim вызывает выключение ПК.
То есть предположение
104953использование "цепи" с разными ЦП воспринимается, как попытка атаки/обхода
оказалось неверно. Достаточно просто загрузки напрямую.

[Quote]

    vovan1982
  • 214
  • Longevity: 10 years
  • Posts: 1139
  • REPUTATION:78

    [+] [-]
  • Location: Ростов-на-Дону
Ander_73, aa. Я вчера ночью закончил эксперименты с LMDE и твоей связкой. Мой бук ни в какую не хочет грузить в EFI если не установлена система или диск не отформатирован в GPT.
Результат как и у тебя.

[Quote]

    stea.61
  • 2490
  • Longevity: 9 years
  • Posts: 701
  • REPUTATION:107

    [+] [-]
  • Location: 61 RUS
104980сам факт запуска связки shim+grub из LMDE меняет SBAT policy
Приветствую. aa
Спасибо за информацию, из которой, похоже, следует, что для публичной сборки лучше перейти на дистр на основе Ubuntu от Canonical, хотя Debian лично мне мне нравится больше.

[Quote]

    UserX
  • 667
  • Longevity: 9 years 9 months
  • Posts: 852
  • REPUTATION:40

    [+] [-]
104980Я таки сумел сбросить SBAT
Если только это не является вашим личным ноу-хау, не могли бы вы рассказать, как вам это таки удалось?

Page 4 of 6


Display posts:    

Current time is: 14-Feb 07:30

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum