Falla al intentar configurar Virtualbox con Secure Boot, This system doesn't support Secure Boot en debian buster

9 envíos / 0 nuevos
Último envío
#1 Vie, 12/07/2019 - 02:36
gacs
Imagen de gacs
Desconectado/a
colaborador
se unió: 21/04/16

Falla al intentar configurar Virtualbox con Secure Boot, This system doesn't support Secure Boot en debian buster

Intentaba hacer funcionar virtualbox con el link hice todo los pasos descritos

  1. Cree un directorio bajo / root, diga / root / module-sign, ponga los tres scripts debajo y hágalos ejecutables: chmod u + x módulos de inicio de sesión de dkms-sign-module
  2. Ejecutar una sola vez la configuración
  3. Reinicie su computadora para implementar el MOK
  4. Para cada módulo que desee firmar a través de DKMS, cree un archivo /etc/dkms//etc/dkms/sign-modules.conf   con el siguiente contenido:   POST_BUILD=../../../../../../root/module-signing/dkms-sign-module
  5. cree enlace de cada modulo que requiera la firma

al reiniciar pense que me pediria la confirmacion de la clave pero no pidio nada, buscando por la red me tope con probar si grub estaba cargando la imagen firmada

mokutil --sb-state 
This system doesn't support Secure Boot

segun en este link , el unico que me no coincido lo que se requiere para soportar el secure boot es el tamaño de la partición efi, ya que la tengo con 540MB y lo recomendado es 550MB. Aunque no estoy muy seguro de ese tamaño ya que de esa partición apenas se esta utilizando 6MB

df -h
S.ficheros     Tamaño Usados  Disp Uso% Montado en
udev             1.9G      0  1.9G   0% /dev
tmpfs            384M   5.9M  378M   2% /run
/dev/sda2         11G   6.7G  3.3G  68% /
tmpfs            1.9G    95M  1.8G   5% /dev/shm
tmpfs            5.0M      0  5.0M   0% /run/lock
tmpfs            1.9G      0  1.9G   0% /sys/fs/cgroup
/dev/sda5        4.2G   1.4G  2.6G  35% /opt
/dev/sda3         91G    50G   37G  58% /home
/dev/sda1        513M   5.3M  508M   2% /boot/efi
tmpfs            384M    12K  384M   1% /run/user/1000
Disco /dev/sda: 111.8 GiB, 120034123776 bytes, 234441648 sectores
Modelo de disco: SATA SSD        
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 512 bytes
Tamaño de E/S (mínimo/óptimo): 512 bytes / 512 bytes
Tipo de etiqueta de disco: gpt
Identificador del disco: AAC27589-9C37-40E9-B4B0-16B7AD38805F

Disposit.   Comienzo     Final  Sectores Tamaño Tipo
/dev/sda1       2048   1054719   1052672   514M Sistema EFI
/dev/sda2    1054720  23515135  22460416  10.7G Sistema de ficheros de Linux
/dev/sda3   32448512 226969599 194521088  92.8G Sistema de ficheros de Linux
/dev/sda4  226969600 228923391   1953792   954M Linux swap
/dev/sda5   23515136  32448511   8933376   4.3G Sistema de ficheros de Linux

Las entradas de la tabla de particiones no están en el orden del disco.

 

Le agradezco de antemano la ayuda que me puedan brindar

 

Vie, 12/07/2019 - 05:42
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

No creo que sea cosa de la partición EFI

$ fdisk -l
Disco /dev/sda: 931,5 GiB, 1000204886016 bytes, 1953525168 sectores
Modelo de disco: ST1000LM048-2E71
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 4096 bytes
Tamaño de E/S (mínimo/óptimo): 4096 bytes / 4096 bytes
Tipo de etiqueta de disco: gpt
Identificador del disco: 5F322C7A-BC73-48B1-A0E2-07D64491F7BF

Dispositiu  Comienzo      Final    Sectors Tamaño Tipus
/dev/sda1       2048  101902335  101900288  48,6G Sistema de ficheros de Linux
/dev/sda2  102414375 1953520064 1851105690 882,7G Sistema de ficheros de Linux
/dev/sda3  101902336  102414374     512039   250M Sistema EFI

Posiblemente te falte instalar algo referente a grub o shim, o tengas un kernel no firmado, ya que se dispone de kernel linux-image-XXX y linux-image-XXX-unsigned.

~$ mokutil --sb-state
SecureBoot disabled
Platform is in Setup Mode

 

En el caso de virtualbox mismo, una vez ejecutado el  script one-time-setup, creada la firma y reiniciado el sistema para enrolarla, se crean los enlaces necesarios al archivo sign-modules.conf:

~$ ls /etc/dkms/
total 16K
framework.conf
sign-modules.conf
template-dkms-mkbmdeb/
template-dkms-mkdeb/
template-dkms-mkdsc -> template-dkms-mkdeb/
vboxdrv.conf -> sign-modules.conf
vboxnetadp.conf -> sign-modules.conf
vboxnetflt.conf -> sign-modules.conf
vboxpci.conf -> sign-modules.conf

que en este caso son 4 (hay que crear uno para cada módulo, y vale para cualquier modulo que se compile automáticamente con dkms, ya sea virtualbox u otro cualquiera, com puede ser el driver de nvidia, o el de una wifi).

Una vez hecho esto, basta con instalar o reinstalar virtualbox y su correspondiente -dkms, y el sistema compilará el módulo y lo firmará con nuestra clave. Ahora ya podemos cargar el modulo con modprobe, y éste se cargará a cada inicio del sistema como venía haciendo hasta ahora sin uefi y secureboot.

Usando modinfo podremos ver si el modulo ha sido firmado o no:

$ modinfo vboxdrv 
filename:       /lib/modules/4.19.0-5-amd64/updates/dkms/vboxdrv.ko
version:        6.0.8_Debian r130347 (0x00290008)
license:        GPL
description:    Oracle VM VirtualBox Support Driver
author:         Oracle Corporation
srcversion:     63289448F3BD665601E030D
depends:        
retpoline:      Y
name:           vboxdrv
vermagic:       4.19.0-5-amd64 SMP mod_unload modversions 
sig_id:         PKCS#7
signer:         Ulthar module signing key <= firma local del modulo
.....

 

P.D.: A ver si puedo sacar tiempo y trato de traducir la guia esa que te indiqué y la metemos en la wiki.

 

Edit.....

No puedo asegurar que sea ese el problema o no, ya que en este equipo no tengo opción para activar secureboot, y la ultima actualización de la bios me quitó hasta la opción de legacy o uefi, siendo el sistema capaz de arrancar tanto en modo csm/legacy o uefi según lo que se encuentre. Y tampoco tengo acceso al otro portátil ahora para cambiar el disco y probar, que en ese si hay opción de secureboot.

  No hay bar que por bien no venga....
Vie, 12/07/2019 - 11:57 (Responder a #2)
gacs
Imagen de gacs
Desconectado/a
colaborador
se unió: 21/04/16

gracias sensei por su ayuda, voy a seguir buscando creo que debe ser algo de la bios de mi equipo, según entiendo en este link  no se esta siguiendo un standar.  como que hay que configurar manualmente algunos equipos y veo que el mio es uno de esos.

 

hice unas pruebas y esto es el resultado:

sudo efibootmgr 
No BootOrder is set; firmware will attempt recovery

sudo efibootmgr -c -d /dev/sda1 -p 1 -w -L debian -l \EFI\debian\grubx64.efi
BootOrder: 0000
Boot0000* debian

sudo efibootmgr -v                                                          
BootOrder: 0000
Boot0000* debian        HD(1,GPT,14e16f0b-6808-4f23-b41f-146f9c97f693,0x800,0x101000)/File(EFIdebiangrubx64.efi)

pero al reiniciar

sudo efibootmgr -v
No BootOrder is set; firmware will attempt recovery

buscare actualizar la Bios a ver si se resuelve

 

 Saludos

 

Vie, 12/07/2019 - 14:29
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

Posiblemente sea la forma en que se ha instalado, ya que veo que es ligeramente diferente de la mia, al menos en la salida del comando efibootmgr:

~$ efibootmgr -v
BootCurrent: 0000
Timeout: 0 seconds
BootOrder: 0000,0001
Boot0000* debian        HD(3,GPT,520c9d9c-e227-4f45-af16-42f6dd3e5e2c,0x612e800,0x7d027)/File(\EFI\debian\shimx64.efi)
,,,,

si te fijas, mientras que en mi sistema está usando shim64 en el tuyo está usanto otro archivo EFI diferente al mio.

Si acaso, aclarar que yo no instalé con EFI, esto estaba con bios legacy y el disco en MBR, y lo pasé a GPT siguiendo un manual y luego instalando grub-efi. Si te sirve de algo, te paso lo que tengo instalado al respecto tras realizar la conversión:

panko@Ulthar:~$ aptitude search --disable-columns -F "%p    %v" ~igrub
grub-common    2.04-1                               
grub-efi    2.04-1
grub-efi-amd64    2.04-1
grub-efi-amd64-bin    2.04-1
grub-efi-amd64-signed    1+2.04+1
grub-invaders    1.0.0-13
grub2-common    2.04-1

panko@Ulthar:~$ aptitude search --disable-columns -F "%p    %v" ~ishim
shim-helpers-amd64-signed    1+15+1533136590.3beb971+7
shim-signed    1.33+15+1533136590.3beb971-7
shim-signed-common    1.33+15+1533136590.3beb971-7
shim-unsigned    15+1533136590.3beb971-7

y añadir, como siempre, que yo uso Sid.

  No hay bar que por bien no venga....
Vie, 12/07/2019 - 17:30
gacs
Imagen de gacs
Desconectado/a
colaborador
se unió: 21/04/16

gracias por la ayuda sensei, instale los mismo paquete pero no hubo cambio, al reiniciar vuelve a dar la falla

No BootOrder is set; firmware will attempt recovery

de momento no pude actualizar la bios por fallas en la bateria de la laptop, pero creo que por ahi debe ser el problema, seguire buscando y comento.

off-topic: Dato curioso que la sentencia

aptitude search --disable-columns -F "%p    %v" ~igrub

no es igual enterpretada en zsh que bash, en zsh la sentencia "~igrub " lo toma como si esta buscando grub en el directorio home. mientras que bash busca lo instalado que lleve la palabra grub.

 

 Saludos

 

Vie, 12/07/2019 - 20:26
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

Pues si, es curioso, pensando que ~i, ~N, ~U son parámetros de búsqueda para aptitude, installed, New, Upgrade... son el equivalente a --installed p --upgradale de apt list. Será cosa de como interpretan los comandos zsh y bash.

 

Edit....

Estoy mirando y es posible que por cualquier cosa la configuración de grub tome caminos distintos entru tu instalación y la mía, al menos mirando el contenido del directorio de arranque, tengo tanto el archivo que usa el mio como el que usa el tuyo:

root@Ulthar:/boot/efi/EFI/debian# ls
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi

a lo mejor, desde tu bios, puedes añadir como entra de arranque shimx64.efi además de grubx64.efi, no idea my friend...

  No hay bar que por bien no venga....
Mar, 16/07/2019 - 13:13 (Responder a #6)
gacs
Imagen de gacs
Desconectado/a
colaborador
se unió: 21/04/16

Panko wrote:

Estoy mirando y es posible que por cualquier cosa la configuración de grub tome caminos distintos entru tu instalación y la mía, al menos mirando el contenido del directorio de arranque, tengo tanto el archivo que usa el mio como el que usa el tuyo:

root@Ulthar:/boot/efi/EFI/debian# ls
BOOTX64.CSV  fbx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi

a lo mejor, desde tu bios, puedes añadir como entra de arranque shimx64.efi además de grubx64.efi, no idea my friend...

Esto es lo que contiene mi directorio  /boot/efi/EFI/debian

ls /boot/efi/EFI/debian
BOOTX64.CSV  bootx64.efi  fbx64.efi  fw  fwupx64.efi  grub.cfg  grubx64.efi  mmx64.efi  shimx64.efi

el unico que arranca con secure boot es shimx64.efi los otros, dan un error y no carga el menu del grub.

Seguire buscando, espero que en la actualización del kerne 5 venga algo que resuleve este problema.

gracias

 Saludos

 

Mar, 16/07/2019 - 15:59
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

¿que te devuelve el comando apt-file search bootx64.efi? En debian Sid ese archivo no existe en ningún paquete, asi que imagino que es cosa de la diferencia de vesiones o algo residual de alguna prueba que hayas hecho.

Segun mi sistema, lo más parecido a esos dos archivos son:

~$ apt-file search bootx64.efi
systemd: /usr/lib/systemd/boot/efi/systemd-bootx64.efi


~$ apt-file search fwupx64.efi
fwupdate: /usr/lib/fwupdate/fwupx64.efi   
fwupdate-amd64-signed: /usr/lib/fwupdate/fwupx64.efi.signed

así que supongo que en algún momento tu sistema los ha copiado ahí no haciéndolo el mio. Desconozco el porqué de ello, la verdad.

  No hay bar que por bien no venga....
Mar, 16/07/2019 - 22:34 (Responder a #8)
gacs
Imagen de gacs
Desconectado/a
colaborador
se unió: 21/04/16

Panko wrote:

¿que te devuelve el comando apt-file search bootx64.efi? En debian Sid ese archivo no existe en ningún paquete, asi que imagino que es cosa de la diferencia de vesiones o algo residual de alguna prueba que hayas hecho.

Segun mi sistema, lo más parecido a esos dos archivos son:

~$ apt-file search bootx64.efi
systemd: /usr/lib/systemd/boot/efi/systemd-bootx64.efi


~$ apt-file search fwupx64.efi
fwupdate: /usr/lib/fwupdate/fwupx64.efi   
fwupdate-amd64-signed: /usr/lib/fwupdate/fwupx64.efi.signed

así que supongo que en algún momento tu sistema los ha copiado ahí no haciéndolo el mio. Desconozco el porqué de ello, la verdad.

Igual sensei obtengo la misma salida.:

apt-file search bootx64.efi    
systemd: /usr/lib/systemd/boot/efi/systemd-bootx64.efi

apt-file search fwupx64.efi    
fwupdate: /usr/lib/fwupdate/fwupx64.efi   
fwupdate-amd64-signed: /usr/lib/fwupdate/fwupx64.efi.signed

y lo raro es que esta instalación es reciente (10- julio- 2019) y desde cero agregando solo los paquetes que utilizo. bueno seguiré buscando y comento

 

gracias

 

 Saludos