Booting in insecure mode

Alle tekniske spørgsmål som ikke hører ind under de andre fora.
lianergoist
Indlæg: 100
Tilmeldt: 30. sep 2008, 14:44
Geografisk sted: Horsens

Booting in insecure mode

Indlæg af lianergoist »

Hej

Jeg ved ikke rigtig om det her er et Ubuntu-problem eller hvad der er galt.

Når jeg starter min computer - Lenovo Z710 - kommer der, lige efter Lenovo logoet i starten, en meddelelse på den sorte skærm, lige inden skærmen bliver lilla, hvor der står "Booting in insecure mode".

For længe siden installerede jeg noget der krævede at Secure Boot blev disablet. Måske var det android studio, jeg kan ikke huske det. Her fulgte jeg proceduren og lod programmet genstarte maskinen, og jeg blev bedt om at sætte et password et par gange, og det var det. Herefter kom ovenstående tekst under boot.

Jeg har i mellemtiden fået ny harddisk og installeret en clean Ubuntu 17.04 (har lige taget forskud på 17.10, men det er en anden historie). Jeg har ikke længere brug for at have secure boot disablet, så jeg har prøvet at enable det i BIOS, hvilket det tilsyneladende nu er, men jeg får stadig beskeden om insecure mode når jeg booter op.

Min BIOS ligner fuldstændig den der bruges i denne beskrivelse: http://linuxbsdos.com/2015/07/27/how-to ... g50-laptop

- og jeg kan enable og disable secure boot som beskrevet.

Mit problem er, at uanset hvad BIOS siger, så siger Ubuntu (går jeg ud fra det er) "Booting in insecure mode"...

Skal jeg bare ignorere det?
Thomas Jensen, Horsens
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10725
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Booting in insecure mode

Indlæg af Christian.Arvai »

Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Prøv at kører dette i en Terminal:

Kode: Vælg alt

hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c

Hvis det giver et resultat som ender med "0001" er secureboot aktiv, "0000" er inaktiv.

Ex fra min maskine med secure-boot deaktiveret:
christian@christian:~$ hexdump /sys/firmware/efi/efivars/SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c
0000000 0006 0000 0000
0000005
christian@christian:~$


Så hvis systemet siger "0001", og Ubuntu stadigt kommer med den besked (Booting in insecure mode) under boot, er det en fejl i systemet.

Min er deaktiveret, og jeg har aldrig set den besked på min maskine. Dualboot Win10/Ubuntu 16.04 LTS.

Kilde: https://askubuntu.com/questions/762835/ ... -turned-on
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Booting in insecure mode

Indlæg af AJenbo »

Christian.Arvai skrev:Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Hvordan det? Er sikkerhed ikke relevant på Linux? Jeg ville måske være lidt enig i at der er en lavere sandsynlighed for et angreb, men der er så også en god chance for at et sådan angreb ville virke uanset hvilket styre system man køre. Måske kan man sige at det er lige irrelevant for begge.
lianergoist
Indlæg: 100
Tilmeldt: 30. sep 2008, 14:44
Geografisk sted: Horsens

Re: Booting in insecure mode

Indlæg af lianergoist »

Christian.Arvai skrev:Så hvis systemet siger "0001", og Ubuntu stadigt kommer med den besked (Booting in insecure mode) under boot, er det en fejl i systemet.


Jeg får "0001", hvilket er korrekt, da Secure Boot er enabled, så ja, det må være en fejl at jeg får denne besked.

Jeg tænker, at det måske handler om at Secure Boot var disabled da jeg installerede systemet, og det at jeg enabler det, simpelthen ikke registreres.

Når 17.10 officielt bliver frigivet, så tror jeg at jeg vil prøve at lave en backup af mit system og lave en frisk installation, med Secure Boot enabled. Så burde jeg da slippe af med fejlmeddelelsen...

Tak for dit svar.
Thomas Jensen, Horsens
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Booting in insecure mode

Indlæg af AJenbo »

Ubuntu 17.10 udkom i går:
http://releases.ubuntu.com/17.10/ubuntu ... -amd64.iso

Christian.Arvai skrev:Min er deaktiveret, og jeg har aldrig set den besked på min maskine. Dualboot Win10/Ubuntu 16.04 LTS.


Så vidt jeg kan regne ud er det maskinenes UEFI der skriver beskeden inden den starter et system. Så den vil ikke være der på maskiner af en anden fabrikant.
Brugeravatar
Christian.Arvai
Admin
Indlæg: 10725
Tilmeldt: 26. apr 2008, 19:27
IRC nickname: Christian_Arvai
Geografisk sted: Holeby - Lolland

Re: Booting in insecure mode

Indlæg af Christian.Arvai »

AJenbo skrev:
Christian.Arvai skrev:Set fra Ubuntu's side kan du blot ignorere den besked, da Secure Boot er kun vigtigt ift. Windows.

Hvordan det? Er sikkerhed ikke relevant på Linux? Jeg ville måske være lidt enig i at der er en lavere sandsynlighed for et angreb, men der er så også en god chance for at et sådan angreb ville virke uanset hvilket styre system man køre. Måske kan man sige at det er lige irrelevant for begge.

UEFI/Secure Boot er en sikkerhedsmæssig joke. Enhver som bare ved en smule om det kan deaktivere UEFI, også uden at være loggen helt ind i Windows (kan gøres ved login-menuen). Det forhindre altså ikke en angriber i noget som helst. Maksimalt vil det forsinke mig 2-3 minutter.

Jeg kan vende spørgsmålet om. Hvor kan du finde kilder, som siger at UEFI/Secure Boot bør være aktiv på en install med Linux?
Med venlig hilsen Christian

"We can only see a short distance ahead, but we can see plenty there that needs to be done." -- Alan Turing
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Booting in insecure mode

Indlæg af AJenbo »

Christian.Arvai skrev:UEFI/Secure Boot er en sikkerhedsmæssig joke. Enhver som bare ved en smule om det kan deaktivere UEFI, også uden at være loggen helt ind i Windows (kan gøres ved login-menuen). Det forhindre altså ikke en angriber i noget som helst. Maksimalt vil det forsinke mig 2-3 minutter.

Det er en kendsgerning at hvis en person har fysisk adgang til en maskine er de fleste former for sikkerhed in effektive og der for er det heller ikke noget som dem der står for sikkerheden (i eks. Linux kernen) ikke noget de bruger tid på.

Christian.Arvai skrev:Jeg kan vende spørgsmålet om. Hvor kan du finde kilder, som siger at UEFI/Secure Boot bør være aktiv på en install med Linux?

https://www.redhat.com/en/blog/uefi-secure-boot
Tim Burke, vice president, Linux Engineering skrev:This is important because there have increasingly been real-world exploits where fraudulently modified early boot code has introduced vulnerabilities into the operating system.

To confront this challenge, the upcoming generation of system firmware, referred to as Unified Extensible Firmware Interface (UEFI) secure boot, has capabilities in the system startup sequence designed to only pass control to operating system software that can be confirmed to be not tampered with.

Tim Burke, vice president, Linux Engineering skrev:Some conspiracy theorists bristle at the thought of Red Hat and other Linux distributions using a Microsoft initiated key registration scheme. Suffice it to say that Red Hat would not have endorsed this model if we were not comfortable that it is a good-faith initiative.

Jeg vil stadig holde på at man ikke kan augmentere for at Secure Boot er noget der er mere eller mindre relevant for et system end et andet, højest kan man augmentere for dets relevans som helhed. Har du nogen kilder til at støtte dit augment? :)