linuxmint auf Rechner mit Secureboot installieren

[Marte Schwarz]

Hallo zusammen,

Je nach befragter Internetseite sei es wahlweise gar kein Problem mehr
oder geht es einfach gar nicht.

Ich hab die Freigabe der hiesigen Admins der Hochschule bekommen, um
parallel zu Win10 ein eigenes linuxmint zu installieren. Randbedingung:
Secureboot und TPM muss aktiv bleiben.

Mit dem Ventoy-Stick konnte ich irgendwelche kryptische Signaturen
eimportieren, es waren ja nur zwei. Seither geht der Zugriff auf den
Ventoy-Stick problemlos. Die Installation lief klaglos, beim ersten
Start wurde ich aufgefordert, wieder irgendwelche Keys zu importieren.
Dabei habe ich anscheinend eine vergessen. Ich komme bis grub2 und wenn
ich nun linux starten will beschwert er sich, dass Shim irgendwas nicht
hat. Ich komme aber nciht mehr zu dem Bildschirm, in dem ich fehlende
Schlüssel nachinstallieren könnte.
Kann man das noch retten oder muss ich einfach drüber installieren?

Gruß & Dank im voraus
Marte


--
Ideologen sind offenbar die, denen das gehäufte Auftreten von
Geisterfahrern seltsam vorkommt. Nun denn. Hanno Foest in d.s.e

[Marco Moock]

Am 17.07.2023 um 21:25:57 Uhr schrieb Marte Schwarz:

> Ich hab die Freigabe der hiesigen Admins der Hochschule bekommen, um
> parallel zu Win10 ein eigenes linuxmint zu installieren.
> Randbedingung: Secureboot und TPM muss aktiv bleiben.

TPM stört nicht, muss aber gar nicht verwendet werden.

> Mit dem Ventoy-Stick konnte ich irgendwelche kryptische Signaturen
> eimportieren, es waren ja nur zwei. Seither geht der Zugriff auf den
> Ventoy-Stick problemlos. Die Installation lief klaglos, beim ersten
> Start wurde ich aufgefordert, wieder irgendwelche Keys zu
> importieren. Dabei habe ich anscheinend eine vergessen. Ich komme bis
> grub2 und wenn ich nun linux starten will beschwert er sich, dass
> Shim irgendwas nicht hat. Ich komme aber nciht mehr zu dem
> Bildschirm, in dem ich fehlende Schlüssel nachinstallieren könnte.
> Kann man das noch retten oder muss ich einfach drüber installieren?

Was ist denn die GENAUE Meldung?
Normalerweise kann man die Keys im UEFI-Setup importieren, alternativ
geht das glaub auch in einem Linux-Livesystem.

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Normalerweise kann man die Keys im UEFI-Setup importieren, alternativ
>geht das glaub auch in einem Linux-Livesystem.

Debian bootet das Installationsmedium mit aktivem Secureboot und dann
läuft einfach die Installation durch. Warum sollte man Keys
installieren müssen, der shim wird ja gerade verwendet WEIL dessen
Signatur schon von Microsoft ausgeliefert wird?

Oder sitze ich wieder auf dem Holzweg?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Bernd Mayer]

Am 17.07.23 um 21:32 schrieb Marco Moock:

Hallo,

Welche Version von Linuxmint soll installiert werden?

Siehe auch die Releasenotes

https://www.linuxmint.com/rel_victoria_cinnamon.php

"Known issues
Secureboot

An update in Ubuntu’s shim-signed broke the compatibility of all Linux
Mint (and past Ubuntu and derivative) ISOs with secureboot.

If because of this you are unable to install Linux Mint, for now we
recommend to disable secureboot.

We are currently working on a fix for future ISOs and taking this
"opportunity to review the way we produce our images.


Hier habe ich den Befehle shim-install und mokutil.

"mokutil is a tool to import or delete the machines owner keys (MOK)
stored in the database of shim."

https://man.archlinux.org/man/extra/mokutil/mokutil.1.en


Bernd Mayer

[Marco Moock]

Am 17.07.2023 schrieb Marc Haber <mh+usene...@zugschl.us>:

> Debian bootet das Installationsmedium mit aktivem Secureboot und dann
> läuft einfach die Installation durch. Warum sollte man Keys
> installieren müssen, der shim wird ja gerade verwendet WEIL dessen
> Signatur schon von Microsoft ausgeliefert wird?
>
> Oder sitze ich wieder auf dem Holzweg?

Das ist richtig, aber ggf. ist auf dem NB dieser Key nicht installiert
oder sogar entfernt worden.

Ich habe aber in Hinterkopf, dass es in der Vergangenheit mal
Win-Updates gab, die ältere Keys entfernt haben.

[Marte Schwarz]

Hi Bernd,

> Welche Version von Linuxmint soll installiert werden?

21.1

> https://www.linuxmint.com/rel_victoria_cinnamon.php

Ups, dass 21.2 da ist, hab ich noch gar nicht bemerkt.

> An update in Ubuntu’s shim-signed broke the compatibility of all Linux
> Mint (and past Ubuntu and derivative) ISOs with secureboot.

Mist.

> If because of this you are unable to install Linux Mint, for now we
> recommend to disable secureboot.

Was aber bedeutet, Mint 21.1 sollte noch gehen. Tuts aber nicht. ich
muss die Meldungen mal fotografieren. Der Rechner ist eben nicht hier an
dem, an dem ich auch Newsgroupzugang habe.

> Hier habe ich den Befehle shim-install und mokutil.

Das setzt aber voraus, dass an das Linux gestartet bekommt, das geht ja
gerade nicht.

Marte

[Marc Haber]

Marte Schwarz <marte....@gmx.de> wrote:
>Das setzt aber voraus, dass an das Linux gestartet bekommt, das geht ja
>gerade nicht.

Darfst Du das Secureboot kurzfristig ausschalten, so lange es danach
wieder an ist?

[Marte Schwarz]

Hi Marc,

> Marte Schwarz <marte....@gmx.de> wrote:
>> Das setzt aber voraus, dass an das Linux gestartet bekommt, das geht ja
>> gerade nicht.
>
> Darfst Du das Secureboot kurzfristig ausschalten, so lange es danach
> wieder an ist?

Leider nein. Unsere Admins sind komplette Windows-Jünger und haben (auch
wegen des erst jüngst gelungenen Angriffs auf unser Netz) echte Angst
vor allem, was Angriffsvektoren bieten könnte. Dass Windows dabei den
größten Vektor liefert, brauchen wir hier nicht zu diskutieren.

Marte

[Marc Haber]

Verwunderlich dass Du überhaupt so ein unsicheres OS wie Linux
installieren darfst.

Viel Erfolg.

[Bernd Mayer]

Am 17.07.23 um 21:25 schrieb Marte Schwarz:

> Hallo zusammen,
>
> Je nach befragter Internetseite sei es wahlweise gar kein Problem mehr
> oder geht es einfach gar nicht.
>
> Ich hab die Freigabe der hiesigen Admins der Hochschule bekommen, um
> parallel zu Win10 ein eigenes linuxmint zu installieren. Randbedingung:
> Secureboot und TPM muss aktiv bleiben.
>
> Mit dem Ventoy-Stick konnte ich irgendwelche kryptische Signaturen
> eimportieren, es waren ja nur zwei. Seither geht der Zugriff auf den
> Ventoy-Stick problemlos. Die Installation lief klaglos, beim ersten
> Start wurde ich aufgefordert, wieder irgendwelche Keys zu importieren.
> Dabei habe ich anscheinend eine vergessen. Ich komme bis grub2 und wenn
> ich nun linux starten will beschwert er sich, dass Shim irgendwas nicht
> hat. Ich komme aber nciht mehr zu dem Bildschirm, in dem ich fehlende
> Schlüssel nachinstallieren könnte.
> Kann man das noch retten oder muss ich einfach drüber installieren?
>

Hallo Marte,

kann man den fehlenden key nicht vom UEFI-BiOS aus importieren?


Bernd Mayer

[Marte Schwarz]

Hi Bernd,

>> Die Installation lief klaglos, beim ersten
>> Start wurde ich aufgefordert, wieder irgendwelche Keys zu importieren.
>> Dabei habe ich anscheinend eine vergessen. Ich komme bis grub2 und
>> wenn ich nun linux starten will beschwert er sich, dass Shim irgendwas
>> nicht hat. Ich komme aber nciht mehr zu dem Bildschirm, in dem ich
>> fehlende Schlüssel nachinstallieren könnte.
>> Kann man das noch retten oder muss ich einfach drüber installieren?

> kann man den fehlenden key nicht vom UEFI-BiOS aus importieren?

Wenn ich wüsste woher, wohin und wie, wäre ich viel weiter.

Marte

[Bernd Mayer]

Am 24.07.23 um 23:35 schrieb Marte Schwarz:

Hallo Marte,

was für ein Notebook ist das denn?


Bernd Mayer