DataCollector Posted March 27 Share Posted March 27 (edited) Da ich bei meinem z690 Mainboard (ASUS PRIME Z690-P-D4-CSM) heute Nacht drauf gestoßen bin wollte ich mal fragen. Mit Secureboot und diversen anderen "Sicherheitsmechanismen" kommt es ja vor, daß ein BIOS/UEFI nur noch signierte Betriebssysteme starten will. Ich habe mich selber eigentlich noch nie so wirklich dafür interessiert und das meist einfach abgeschaltet, wenn möglich. Aber bei dem Mainboard schaffe ich es nicht Secureboot abzuschalten. Wo/Wie bekommt man den Securekey zu unraid zum einarbeiten in die Datenbank des Mainboard? Dies ist nur eine generelle Frage, da es mich für die Zukunft interessiert. Das Mainboard selber sollte eigentlich nicht für unraid her halten. Das wird nach aktueller Planung sowieso als upgrade für ein älteres Windowssystem herhalten. Aber, da ich mich damit noch so gut wie gar nicht auskenne wollte ich mal fragen. P.S.: die ct hat zu dem Thema und einem drohenden Fiasko bei Mainboards ja auch aktuell ein paar Berichte/Artikel geschrieben, aber ich gebe zu, da bin ich auch noch nicht so ganz durch gestiegen. EDIT: Falls jemand noch nicht weiß, was ich meine: Abgesehen von einem Beitrag in der aktuellen ct Zeitschrift des heise Verlages wurde es auch in diesem Link/Podcast mal 'kommentiert' und wie gesagt, ich bin in der Nacht von gestern auf heute überraschend auf eine Probklematik mit meinem Z690 Board gestoßen, die ich auch dort verorte und eben nicht nur Windows betrifft. https://www.heise.de/meinung/Bit-Rauschen-der-Prozessor-Podcast-UEFI-Secure-Boot-im-Detail-9652818.html Edited March 27 by DataCollector Ergänzug zum Podcast eingefügt Quote Link to comment
worli Posted March 27 Share Posted March 27 Sieht nicht so aus als wäre der Bootloader oder Kernel signiert: /boot/EFI/boot # sbverify bootx64.efi No signature table present Signature verification failed /boot # sbverify --list bzimage No signature table present Um abseits der nicht signierten bootloaders dann noch Kernel booten zu können die man selbst signiert hat, braucht man noch ein (von Mircosoft) signiertes Shim in dem dann die eigenen signing Zertifikate hinterlegt sind. Signing Prozess bei Mircosoft: https://techcommunity.microsoft.com/t5/hardware-dev-center/updated-uefi-signing-requirements/ba-p/1062916 Direkt den Bootloader, Kernel, ... mit einem eigenen Zertifikat zu signen und dann die custom Zertifikate ins Board einzuspielen, ist zwar eine Lösung für Techies, aber Unraid hat ja nicht nur die als Zielgruppe Quote Link to comment
alturismo Posted March 27 Share Posted March 27 1 hour ago, DataCollector said: Aber, da ich mich damit noch so gut wie gar nicht auskenne wollte ich mal fragen. das ist tatsächlich nicht ganz so einfach ... habe das mal mit Ubuntu gemacht (Surface Laptop) ... slackware, Ansatz ... aber würde ich das machen ... Never vorher wechsel ich die Hardware wenn das zwingend wäre ... https://docs.slackware.com/howtos:security:enabling_secure_boot Quote Link to comment
worli Posted March 27 Share Posted March 27 Ja das ist nicht trivial, wir haben uns das beruflich mal angesehn, weil wir über PXE Windows VM Installationen ohne SCCM machen wollten. Dafür wollten wir iPXE signieren und die Keys hinterlegen, haben aber dann eine signierte und konfigurierbare iPXE Version gefunden und nicht mehr weiterverfolgt. Meiner Meinung nach sollte Unraid trotzdem mal secure boot fähig werden. Quote Link to comment
zero_neverload Posted March 28 Share Posted March 28 Soweit ich weiss, kann Unraid das (noch) nicht Quote Link to comment
DataCollector Posted April 3 Author Share Posted April 3 Hallihallo. Da sich mir diese ursprüngliche Frage ja im Zusammenhang mit einem nicht booten wollenden ASUS Z690 Mainboard zeigte, will ich hier eien abschließende Ergänzung mitteilen: SecureBoot war möglicherweise gar nicht schuld und läßt sich sehr wohl abschalten. Auch eine weitere Hürde, die Asus mit der aufpoppenden 'F1' Meldung beim Booten dazwischen gebastelt hat, läßt sich beheben, so daß auch das Mainboard nun auch problemlos zu unraid durchbootet. Siehe hier: https://forums.unraid.net/topic/159527-asus-prime-z690-p-d4-csm-90mb18p0-m0eayc-messung/?do=findComment&comment=1399236 Ich danke allen, die sich hier zum Thema des UEFI Security Keys beteiligt haben! Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.