unraid KEY für UEFI Secureboot? wie/woher

[DataCollector]

Da ich bei meinem z690 Mainboard (ASUS PRIME Z690-P-D4-CSM) heute Nacht drauf gestoßen bin wollte ich mal fragen.
 

Mit Secureboot und diversen anderen "Sicherheitsmechanismen" kommt es ja vor, daß ein BIOS/UEFI nur noch signierte Betriebssysteme starten will.

Ich habe mich selber eigentlich noch nie so wirklich dafür interessiert und das meist einfach abgeschaltet, wenn möglich. Aber bei dem Mainboard schaffe ich es nicht Secureboot abzuschalten.

 

Wo/Wie bekommt man den Securekey zu unraid zum einarbeiten in die Datenbank des Mainboard?

 

Dies ist nur eine generelle Frage, da es mich für die Zukunft interessiert.

Das Mainboard selber sollte eigentlich nicht für unraid her halten. Das wird nach aktueller Planung sowieso als upgrade für ein älteres Windowssystem herhalten.

Aber, da ich mich damit noch so gut wie gar nicht auskenne wollte ich mal fragen.

P.S.: die ct hat zu dem Thema und einem drohenden Fiasko bei Mainboards ja auch aktuell ein paar Berichte/Artikel geschrieben, aber ich gebe zu, da bin ich auch noch nicht so ganz durch gestiegen.

 

EDIT:

Falls jemand noch nicht weiß, was ich meine:

Abgesehen von einem Beitrag in der aktuellen ct Zeitschrift des heise Verlages wurde es auch in diesem Link/Podcast mal 'kommentiert' und wie gesagt, ich bin in der Nacht von gestern auf heute überraschend auf eine Probklematik mit meinem Z690 Board gestoßen, die ich auch dort verorte und eben nicht nur Windows betrifft.

https://www.heise.de/meinung/Bit-Rauschen-der-Prozessor-Podcast-UEFI-Secure-Boot-im-Detail-9652818.html

Edited March 27 by DataCollector
Ergänzug zum Podcast eingefügt

[worli]

Sieht nicht so aus als wäre der Bootloader oder Kernel signiert:

 

/boot/EFI/boot # sbverify bootx64.efi
No signature table present
Signature verification failed

/boot # sbverify --list bzimage
No signature table present

 

Um abseits der nicht signierten bootloaders dann noch Kernel booten zu können die man selbst signiert hat, braucht man noch ein (von Mircosoft) signiertes Shim in dem dann die eigenen signing Zertifikate hinterlegt sind.

 

Signing Prozess bei Mircosoft:

https://techcommunity.microsoft.com/t5/hardware-dev-center/updated-uefi-signing-requirements/ba-p/1062916

 

Direkt den Bootloader, Kernel, ... mit einem eigenen Zertifikat zu signen und dann die custom Zertifikate ins Board einzuspielen, ist zwar eine Lösung für Techies, aber Unraid hat ja nicht nur die als Zielgruppe

[alturismo]

1 hour ago, DataCollector said:

Aber, da ich mich damit noch so gut wie gar nicht auskenne wollte ich mal fragen.

 

das ist tatsächlich nicht ganz so einfach ... habe das mal mit Ubuntu gemacht (Surface Laptop) ...

 

slackware, Ansatz ... aber würde ich das machen ... Never  vorher wechsel ich die Hardware wenn das zwingend wäre ...

 

https://docs.slackware.com/howtos:security:enabling_secure_boot

[worli]

Ja das ist nicht trivial, wir haben uns das beruflich mal angesehn, weil wir über PXE Windows VM Installationen ohne SCCM machen wollten.

Dafür wollten wir iPXE signieren und die Keys hinterlegen, haben aber dann eine signierte und konfigurierbare iPXE Version gefunden und nicht mehr weiterverfolgt.

 

Meiner Meinung nach sollte Unraid trotzdem mal secure boot fähig werden.

[zero_neverload]

Soweit ich weiss, kann Unraid das (noch) nicht

 

 

[DataCollector]

Hallihallo.

 

Da sich mir diese ursprüngliche Frage ja im Zusammenhang mit einem nicht booten wollenden ASUS Z690 Mainboard zeigte, will ich hier eien abschließende Ergänzung mitteilen:

SecureBoot war möglicherweise gar nicht schuld und läßt sich sehr wohl abschalten.

Auch eine weitere Hürde, die Asus mit der aufpoppenden 'F1' Meldung beim Booten dazwischen gebastelt hat, läßt sich beheben, so daß auch das Mainboard nun auch problemlos zu unraid durchbootet.

 

Siehe hier:

https://forums.unraid.net/topic/159527-asus-prime-z690-p-d4-csm-90mb18p0-m0eayc-messung/?do=findComment&comment=1399236

 

 

Ich danke allen, die sich hier zum Thema des UEFI Security Keys beteiligt haben!