帮助弹出文本

帮助弹出文本

我的笔记本电脑预装了 14.04 (Trusty Tahr) LTS。从那时起,我没有进行任何重大更改,并且只要收到更新通知,我就会应用更新。

2016 年 7 月 15 日,我像往常一样应用更新,或者说我以为是这样。“软件更新程序”弹出窗口已经到达“配置 shim-signed”,这时我收到此信息“Debconf”弹出窗口屏幕截图,其内容在附带的文字中有详细描述。

正如你所看到的:

  • 大号字体显示“配置安全启动”
  • 有“禁用 UEFI 安全启动?”复选框
  • 有一个“帮助”按钮
  • 有“前进”按钮

我以前从未见过这种情况。我在截屏之前点击了“帮助”按钮,弹出了你看到的第三个弹出窗口。

帮助弹出文本

以防万一有人通过这些短语进行搜索......

Your system has UEFI Secure Boot enabled. UEFI Secure Boot is not compatible with the use of third-party drivers.

The system will assist you in disabling UEFI Secure Boot. To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose a password now and then use the same password after reboot to confirm the change.

If you choose to proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system but these third-party drivers will not be available for your hardware.

后续步骤

如果我没记错的话......

  • 过了一会儿,我同意“禁用 UEFI 安全启动”,然后单击“前进”按钮。
  • 这直接将我带到一个窗口,在那里我设置密码(输入两次)。
  • 更新过程以正常方式完成,并弹出窗口询问我何时重新启动。
  • 我很快就重新启动了。
  • 在启动过程中,出现蓝屏,显示“按任意键配置mok”之类的内容。
  • 我按下了一个键。
  • 正如我所料,笔记本电脑并没有被要求提供 5 分钟前设置的密码,而是以正常方式快速启动。
  • 我正常登录Ubuntu。
  • Wi-Fi 适配器无法工作。
  • 我无法启动 VirtualBox VM。错误是“内核驱动程序未安装”。
  • 其它各种问题。
  • 我尝试重新启动多次,但再也没有看到那个蓝色的“配置 mok”屏幕。
  • 我注意到我当前的内核是3.19.0-65
  • 所以我重新启动并使用 grub 来选择3.19.0-64
  • 一切又恢复正常了。

我的研究笔记

Note01 - 我查看了我的 BIOS 设置(这是这台笔记本电脑上的第一次)。安全启动似乎已启用。如果“Debconf”成功禁用了 UEFI 安全启动,这会反映在 BIOS 设置中吗?

Note02 - 我的笔记本电脑是戴尔 XPS 13,其他人的报告问题在戴尔硬件上使用 3.19.0-65。

Note03 - 更新说明USN-3037-1说升级到 3.19.0-65。最后一段是:

注意:由于不可避免的 ABI 更改,内核更新已获得新的版本号,这要求您重新编译并重新安装您可能已安装的所有第三方内核模块。除非您手动卸载标准内核元包(例如 linux-generic、linux-generic-lts-RELEASE、linux-virtual、linux-powerpc),否则标准系统升级也会自动执行此操作。

(我只是一个用户,我不太明白这一点。我们不是总是会得到一个新的版本号吗?我们不是总是必须重新编译和重新安装吗——由 DKMS 或类似的东西管理的过程?)

Note04 -3.19.0-65.73 的更新日志有很多 UEFI 问题,包括影响EFI_SECURE_BOOT_SIG_ENFORCECONFIG_EFI_SECURE_BOOT_SIG_ENFORCE

Note05 - 因为我的内核版本是 3.19,所以我假设我一定是在trusty linux-lts-vivid LTS 支持堆栈(??),如表所示这里,其中 3.19.0-65.73 是当前最新的条目。

Note06 - 似乎使用trusty linux-lts-wilyLTS 支持堆栈(内核版本 4.2)的人可能在我之前一天也遇到了同样的弹出窗口,但是不会遇到任何后续问题

Note07 - 有一个2016 年 4 月的答复其中写道:

从 Ubuntu 16.04 开始,Ubuntu 开始在内核层面强制执行安全启动。在 16.04 之前,即使您已开启安全启动,Ubuntu 也不会真正强制您使用签名内核和签名内核模块。

难道现在,在 2016 年 7 月,Ubuntu 已经向 14.04 LTS 引入了新的安全启动要求? 如果不是,我使用 3.19.0-65 时遇到的问题是什么?无论如何,我(以及其他遇到问题的人)应该怎么做?

谢谢!

答案1

你是对的。Canonical Kernel Team 已在新的 3.19 Ubuntu 内核中启用了 EFI_SECURE_BOOT_SIG_ENFORCE。

这可以防止加载未签名的第三方内核模块。

看起来有一个带有 GUI 的脚本可以帮助禁用安全启动。

在你的情况下它不起作用。这取决于你电脑中特定的 UEFI 实现。

但是您可以简单地在 UEFI 设置中禁用安全启动。

这个答案以及下面的评论。

答案2

您还可以禁用安全启动运行sudo update-secureboot-policy。这维基页面解释了这个方法。

相关内容