Booting in insecure mode

[lianergoist]

Hej

Jeg ved ikke rigtig om det her er et Ubuntu-problem eller hvad der er galt.

Når jeg starter min computer - Lenovo Z710 - kommer der, lige efter Lenovo logoet i starten, en meddelelse på den sorte skærm, lige inden skærmen bliver lilla, hvor der står "Booting in insecure mode".

For længe siden installerede jeg noget der krævede at Secure Boot blev disablet. Måske var det android studio, jeg kan ikke huske det. Her fulgte jeg proceduren og lod programmet genstarte maskinen, og jeg blev bedt om at sætte et password et par gange, og det var det. Herefter kom ovenstående tekst under boot.

Jeg har i mellemtiden fået ny harddisk og installeret en clean Ubuntu 17.04 (har lige taget forskud på 17.10, men det er en anden historie). Jeg har ikke længere brug for at have secure boot disablet, så jeg har prøvet at enable det i BIOS, hvilket det tilsyneladende nu er, men jeg får stadig beskeden om insecure mode når jeg booter op.

Min BIOS ligner fuldstændig den der bruges i denne beskrivelse: http://linuxbsdos.com/2015/07/27/how-to ... g50-laptop

- og jeg kan enable og disable secure boot som beskrevet.

Mit problem er, at uanset hvad BIOS siger, så siger Ubuntu (går jeg ud fra det er) "Booting in insecure mode"...

Skal jeg bare ignorere det?

[Christian.Arvai]

Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Prøv at kører dette i en Terminal:

Kode: Vælg alt

hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c

Hvis det giver et resultat som ender med "0001" er secureboot aktiv, "0000" er inaktiv.

Ex fra min maskine med secure-boot deaktiveret:

christian@christian:~$ hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c
0000000 0006 0000 0000
0000005
christian@christian:~$

Så hvis systemet siger "0001", og Ubuntu stadigt kommer med den besked (Booting in insecure mode) under boot, er det en fejl i systemet.

Min er deaktiveret, og jeg har aldrig set den besked på min maskine. Dualboot Win10/Ubuntu 16.04 LTS.

Kilde: https://askubuntu.com/questions/762835/ ... -turned-on

[AJenbo]

Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Hvordan det? Er sikkerhed ikke relevant på Linux? Jeg ville måske være lidt enig i at der er en lavere sandsynlighed for et angreb, men der er så også en god chance for at et sådan angreb ville virke uanset hvilket styre system man køre. Måske kan man sige at det er lige irrelevant for begge.

[lianergoist]

Så hvis systemet siger "0001", og Ubuntu stadigt kommer med den besked (Booting in insecure mode) under boot, er det en fejl i systemet.

Jeg får "0001", hvilket er korrekt, da Secure Boot er enabled, så ja, det må være en fejl at jeg får denne besked.

Jeg tænker, at det måske handler om at Secure Boot var disabled da jeg installerede systemet, og det at jeg enabler det, simpelthen ikke registreres.

Når 17.10 officielt bliver frigivet, så tror jeg at jeg vil prøve at lave en backup af mit system og lave en frisk installation, med Secure Boot enabled. Så burde jeg da slippe af med fejlmeddelelsen...

Tak for dit svar.

[AJenbo]

Ubuntu 17.10 udkom i går:
http://releases.ubuntu.com/17.10/ubuntu ... -amd64.iso

Min er deaktiveret, og jeg har aldrig set den besked på min maskine. Dualboot Win10/Ubuntu 16.04 LTS.

Så vidt jeg kan regne ud er det maskinenes UEFI der skriver beskeden inden den starter et system. Så den vil ikke være der på maskiner af en anden fabrikant.

[Christian.Arvai]

Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Hvordan det? Er sikkerhed ikke relevant på Linux? Jeg ville måske være lidt enig i at der er en lavere sandsynlighed for et angreb, men der er så også en god chance for at et sådan angreb ville virke uanset hvilket styre system man køre. Måske kan man sige at det er lige irrelevant for begge.

UEFI/Secure Boot er en sikkerhedsmæssig joke. Enhver som bare ved en smule om det kan deaktivere UEFI, også uden at være loggen helt ind i Windows (kan gøres ved login-menuen). Det forhindre altså ikke en angriber i noget som helst. Maksimalt vil det forsinke mig 2-3 minutter.

Jeg kan vende spørgsmålet om. Hvor kan du finde kilder, som siger at UEFI/Secure Boot bør være aktiv på en install med Linux?

[AJenbo]

UEFI/Secure Boot er en sikkerhedsmæssig joke. Enhver som bare ved en smule om det kan deaktivere UEFI, også uden at være loggen helt ind i Windows (kan gøres ved login-menuen). Det forhindre altså ikke en angriber i noget som helst. Maksimalt vil det forsinke mig 2-3 minutter.

Det er en kendsgerning at hvis en person har fysisk adgang til en maskine er de fleste former for sikkerhed in effektive og der for er det heller ikke noget som dem der står for sikkerheden (i eks. Linux kernen) ikke noget de bruger tid på.

Jeg kan vende spørgsmålet om. Hvor kan du finde kilder, som siger at UEFI/Secure Boot bør være aktiv på en install med Linux?

https://www.redhat.com/en/blog/uefi-secure-boot

This is important because there have increasingly been real-world exploits where fraudulently modified early boot code has introduced vulnerabilities into the operating system.

To confront this challenge, the upcoming generation of system firmware, referred to as Unified Extensible Firmware Interface (UEFI) secure boot, has capabilities in the system startup sequence designed to only pass control to operating system software that can be confirmed to be not tampered with.

Some conspiracy theorists bristle at the thought of Red Hat and other Linux distributions using a Microsoft initiated key registration scheme. Suffice it to say that Red Hat would not have endorsed this model if we were not comfortable that it is a good-faith initiative.

Jeg vil stadig holde på at man ikke kan augmentere for at Secure Boot er noget der er mere eller mindre relevant for et system end et andet, højest kan man augmentere for dets relevans som helhed. Har du nogen kilder til at støtte dit augment?