Aktualisierung der ISOs & Hotfix Secure Boot verfügbar

83 views
Skip to first unread message

Jörg Berkel

unread,
Aug 27, 2024, 3:57:18 AMAug 27
to lernstick
Wir haben gestern endlich den signierten Bootloader erhalten und die zuletzt erschienene Lernstick-Version 2024-07-30 damit gepatcht.

a) Die Downloads und Latest-Verknüpfungen zeigen nun auf https://releases.lernstick.ch/hotfix-secureboot-aug24/

b) Dort liegt auch das Script update_lernstick.sh, welches die benötigten Dateien aus dem Lernstick-Repository herunterlädt und auf den EFI-Partitionen aller angeschlossenen Lernsticks platziert.

Bei einem gebootetem Lernstick (oder Linux) kann der Hotfix mit folgendem Befehl und Eingabe des Userkennworts (Standard "live") durchgeführt werden:
curl -Ls https://fix.lernstick.ch/ | sudo bash

c) Unter Windows ist es auch manuell möglich die unter b) gezeigten Dateien an die entsprechenden Orte der EFI-Partition zu kopieren.

Geschafft! .. wir freuen uns auf das nächste "reguläre" Release mit neuer Kernelversion :-)


Viel Erfolg und Gruss,

Thore, Ronny und Jörg

Andreas Goebel

unread,
Aug 27, 2024, 4:17:02 AMAug 27
to lernstick
Moin,
vielen Dank.

1. Müssen die Lernsticks gemountet sein?
2. Wird auch der gebootete Lernstick geupdatet? Ist es dabei relevant, ob dieser "nur lesen" gestartet wird?
3. Bzgl. eines anderen gebooteten Linux nehme ich an, dass der User ein User mit sudo-Rechten sein muss.

Die realistischste Option, das bei mir in die Breite zu bringen, sehe ich darin, dass Schüler, bei denen der Stick noch funktioniert (etwa, weil sie kein Secure Boot haben), vom Stick booten, die Sticks von Klassenkameraden einstecken und dann das Skript aufrufen.

Funktioniert das Skript mit allen Debian 12 basierten Sticks, oder sogar mit alten Debian 11 basierten Sticks?

Bei uns im Schulnetz (auch Linux) wird das leider nicht funktionieren, weil die normalen user keine sudo rechte haben und weil wir dort hinter einem Proxyserver sitzen, sonst könnte jeder Schüler leicht seinen Stick im Schulnetz updaten.

Dank + Gruß,
Andreas

Am 27.08.24 um 09:57 schrieb Jörg Berkel:
--
Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "lernstick" abonniert haben.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.
Wenn Sie diese Diskussion im Web verfolgen möchten, rufen Sie https://groups.google.com/d/msgid/lernstick/5ef01aad-6e7d-4c1a-bdea-8272a468ff47n%40googlegroups.com auf.


Thore Sommer

unread,
Aug 27, 2024, 4:38:43 AMAug 27
to lernstick
Moin Andreas,

1. Müssen die Lernsticks gemountet sein?
 
 Nein, das Skript mountet diese automatisch.
 
2. Wird auch der gebootete Lernstick geupdatet? Ist es dabei relevant, ob dieser "nur lesen" gestartet wird?
 
Ja wird mit geupdatet, falls dieser mit dlcopy erstellt wurde. Wenn das ISO image nur mit z.B. balenaEtcher oder dd auf einen USB Stick kopiert wurde, dann nicht.
Es ist egal in welchem Modus der Lernstick gestartet wurde.
 
3. Bzgl. eines anderen gebooteten Linux nehme ich an, dass der User ein User mit sudo-Rechten sein muss.

Genau, sudo Rechte werden benötigt, sowie wget und awk müssen installiert sein.
 
Die realistischste Option, das bei mir in die Breite zu bringen, sehe ich darin, dass Schüler, bei denen der Stick noch funktioniert (etwa, weil sie kein Secure Boot haben), vom Stick booten, die Sticks von Klassenkameraden einstecken und dann das Skript aufrufen.

Funktioniert das Skript mit allen Debian 12 basierten Sticks, oder sogar mit alten Debian 11 basierten Sticks?

Es sollte mit allen Lernstick 12 Sticks funktionieren und habe es auch mit einem neueren Lernstick 11 Stick (Version 2023-03-04) getestet und funktioniert auch dort.

Viele Grüße
Thore

Andreas Goebel

unread,
Aug 27, 2024, 5:00:01 AMAug 27
to lernstick
Moin,
das klingt sehr gut, zumal es sehr schnell geht. Habe es gerade mal mit 8 Sticks getestet, das hat nicht mal eine Minute gedauert.

Ich werde da jetzt zweigleisig fahren: In vielen Klassen gibt es ja technisch interessierte Schüler*innen. Die können das dann selbst machen und auch ihren Klassenkameraden helfen, ich kann ja auch ein paar geupdatete Sticks reingeben, die trotz aktuellem Windows starten.

Für den Rest stelle ich mir einen Rechner mit USB 7fach Port ins Lehrerzimmer, dann kann ich Sticks, die mir abgegeben werden, schnell aktualisieren.

Ich finde das ganze Secure-Boot System immer noch echt schlecht, weil ich es absurd finde, dass man von Windows aus (das Hauptsicherheitsrisiko ist doch zweifellos Windows selbst, wie die Vorfälle im Sommer wieder eindrucksvoll gezeigt haben) die Keys ändern kann. Ich sehe absolut keinen technischen Grund, weshalb es einem Virus nicht möglich sein sollte, seine eigenen Signaturen da einzuschleusen oder was weiß ich mit dem UEFI zu tun.

Auch die Bitlocker-Verschlüsselung ist lächerlich: Sobald das System gestartet ist, ist alles entschlüsselt. Jeder Trojaner kann auf alles zugreifen. Das einzige Szenario, wo Bitlocker was nützt, ist, dass ich mein Notebook verliere und mein User ein starkes Passwort hat. Viel wahrscheinlicher ist es, dass ich alle meine Daten verliere, weil plötzlich nach dem Bitlocker-Key gefragt wird und ich diesen nicht habe (so geschehen nach einem Windows Update, wo User plötzlich diesen Key eingeben mussten).

Ich finde es aber super, wie ihr eine Lösung gefunden habt, trotz der durch MS verursachten Widrigkeiten!

Viele Grüße,
Andreas

Am 27.08.24 um 10:38 schrieb Thore Sommer:
--
Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "lernstick" abonniert haben.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.
Wenn Sie diese Diskussion im Web verfolgen möchten, rufen Sie https://groups.google.com/d/msgid/lernstick/c0f16d94-89d4-413d-a794-22b2208db93an%40googlegroups.com auf.


helge.m

unread,
Dec 10, 2024, 3:15:03 PM (12 hours ago) Dec 10
to lernstick
Hallo,

auch von mir vielen Dank für den Fix.

Ich habe den Fix auf die Verwendung von curl statt wget abgeändert. Das funktioniert bei unserem Proxy besser. 
Dieses Script kann hier https://gitlab.com/elsch/dies-und-das/-/blob/main/update_lernstick.sh runtergeladen werden.

Viele Grüße,
Helge
Reply all
Reply to author
Forward
0 new messages