Was erlauben Microsoft?

[.one]

nur noch Betriebssysteme, deren Bootloader von Microsoft signiert wurden

Das ist btw. was Gutes und nicht was Schlechtes, wie es durch die Medien geritten wird.

 

[LorD-AcE]

Wenn das unbedingt sein muss: Zweite SSD und fertig
Alternativ Linux in eine VM packen.

Leider ist das nicht so einfach. Secure Boot ist aktiv, oder nicht aktiv. Wenn es aktiv ist und Windows entsprechend installiert, kann auch von einer zweiten SSD kein Linux mehr gebootet werden, dessen Bootloader als unsicher eingestuft und von Microsoft gesperrt wurde.

Man müsste zunächst mal wissen, welche Linux Distributionen denn nun überhaupt gesperrt sind. Eventuell sind es ja welche, die längst aus dem Supportzeitraum raus sind und tatsächlich ein Sicherheitsrisiko darstellen.

Da die Frage immer wieder aufkommt, u.A. ist Ubuntu 20.04 LTS betroffen.

Wo ist das Problem? Roll doch einfach einen neuen Key aus.
Klar ist es nervig, wenn ein Betriebssystem die gespeicherten Keys ändert, aber gerade als Linux Nutzer kann man sich doch helfen.

Kannst du auch erklären, wie ich einen neuen Key für z.B. Grub aus Ubuntu 20.04 LTS auf meinem Mainboard ausrolle? Die Keys für die entsprechenden Grub Versionen wurden nicht gelöscht, sie sind auf einer Sperrliste, demnach kann man für eben diese Version nicht mal eben nen neuen Key einspielen. Man muss schon ganz paar Schritte gehen um das mal eben wieder ans laufen zu bekommen. Und Microsoft wäre hier in der Pflicht gewesen, die Hersteller der Linux Distros zu informieren und die Chance zu geben Updates vorher ausspielen zu können anstatt einfach ohne Ansage ausgesperrt zu werden.

Aber ist es nicht quasi diese News? https://heise.de/-7220634

Nope: https://www.heise.de/hintergrund/Bo...zogen-Microsoft-bootet-Linux-aus-7250544.html

Selbst schuld. Aktuelles Grub nehmen.

Sehr wertvoller Beitrag.

Du kannst den Linux-Kernel editieren und dir Linux im BIOS hinzufügen. Damit ist der BIOS dein Boomtanger und du kannst dann im BIOS durch das verschieben der boot-eintäge, die Reihenfolge wählen, welches System du booten willst.
So habe ich das, GRUB ist damit überflüssig, kann deinstalliert werden und das System bootet schneller. Mein Linux bootet in 12 Sekunden (Kaltstart), komplette boot-Zeit, von dem Augenblick, an dem ich den Knopf zum einschalten drücke.

Anleitung?

Das ist btw. was Gutes und nicht was Schlechtes, wie es durch die Medien geritten wird.

Darüber lässt sich streiten. https://www.heise.de/news/DefCon-30...sicherheiten-in-UEFI-Secure-Boot-7221728.html

 

[.one]

Streiten schon, aber nicht per se als Scheiße abstempeln.

 

[PHuV]

Das soll keine Polemik sein, ich bin einfach nur sauer über deren Geschäftgebaren mit mündigen Bürgern.
Oke, Den Satz mit der "Weltfirma" hätte ich mir sparen sollen.
Das ändert aber nichts an der Tatsache, das eine Menge an Usern nicht mehr auf Windows zugreifen kann ohne sich Softwaretechnisch zu verrenken.

Was hätten den Microsoft sonst machen sollen, wenn es eine Sicherheitslücke ist? Das Verhalten hier war nur konsequent wie korrekt. Anders wäre doch auch gemotzt worden, wenn diese Lücke im gewaltigen Stil ausgenutzt worden wäre.

 

[.one]

Linux kommt per Win ins Netz und schon wird es kastriert. Das war leider vorauszusehen. Denn Sicherheitslücken gibt es ja nicht. Wird es geblockt, weil doch was ist, ist MS schuld. Das war eigentlich recht klar.

 

[cloudman]

Und Microsoft wäre hier in der Pflicht gewesen, die Hersteller der Linux Distros zu informieren und die Chance zu geben Updates vorher ausspielen zu können anstatt einfach ohne Ansage ausgesperrt zu werden.

Woher willst du wissen, dass sie es nicht gemacht haben?

Eigentlich sollte auch bei 20.04 LTS grub mittlerweile aktualisiert worden sein

Anleitung?

Z.b https://www.heise.de/ratgeber/Linux-Kernel-mit-Systemd-Boot-gekonnt-starten-5024202.html

 

[gymfan]

Klar, wenn ich kein Windows nutze kann ich Secure boot abschalten. Aber das sollte nicht die Lösung sein.

Da ich bis 2025 keinen Grund für WIn 11 sehe, gibt es hier, neben dem Firmen-Laptop, nur exakt ie Gerät mit aktivem Secure-Boot. Und das ist ein MS Tablet. Win 10 läuft problemlos ohne Secure-Boot.

Ich habe mich aber schon mehrmals gefragt, was sich einige Linux-Distributionen erlauben: die einen verdrehen dreist nach jedem Boot/Zugriff auf einen Zeitserver die UEFI-Uhr (weil sie ja der Master aller Uhren sind und diese daher mit UTC laufen muss). Andere konfigurieren ohne Auffordeurng einfach das EFI Bootmenü um, obwohl ich nur auf USB-SSD (inkl Bootloader) installiert hatte.

Irgnedwie fand ich die Methode Ende der 1990er, als ich zwischen Linux und DOS/Windows per Linux Boot-Diskette gewählt habe, viel angenehmer wie irgendwelche Boot-Menüs.

 

[7vor10]

Zuvor schon hatte ich ein bißchen in den Kommentaren zum Artikel auf Heise gelesen, denn der Artikel selbst ist nur gegen Bezahlung zu examinieren. Soweit ich das überblicke, wird es aber Linux nicht abrupt zu Fall bringen können. (Sonst wäre der Wirbel sicherlich ein Vielfaches größer.)

Die Materie ist für Laien schwer zu durchschauen (es mag also tatsächlich Gründe geben für eine sicherheitstechnische Beanstandung der betroffenen Linux-Starter). Was aber keine Spitzfindigkeit der Welt aus derselben zu schaffen vermag, ist, wieso ausgerechnet ein Konkurrent wie MS als aufsichtsführende Behörde agieren darf (ohne juristische Konsequenzen befürchten zu müssen). Ich warte daher auf den Tag, wo VW - ohne Vorwarnung -sämtliche Straßen sperrt für Autos von Mercedes, BMW, Ford und Opel. Mit der Begründung, es läge ein sicherheitskritisches Problem vor im Zusammenhang mit Fahrzeugen dieser Firmen (laut VW).

Für die Zukunft wird es entscheidend sein, ob

• Secure Boot vom Benutzer weiterhin abgeschaltet werden kann (nur dann greift der Zwangsmechanismus nämlich) und/oder
• der Nutzer manuell (einfach und bequem!) 'sein' OS selbst signieren kann (als 'trusted')

Wenn der Gesetzgeber erst dann eingreift, wenn auch diese Entscheidungsfreiheit von MS liquidiert ist, wäre es zu spät. Es kann auch nicht sein, dass immer erst eine Klage vor Gericht eingereicht werden muss, wenn offensichtlich ist, dass Monopol-Unternehmen mit durchsichtigen Vorwänden, unliebsame Konkurrenten aus dem Weg zu räumen versuchen (hier sind Behörden wie Kartellaufsicht u.ä. gefragt).

 

[root@linux]

Anleitung?

Das ist sehr kompliziert, habe ich schon lange nicht mehr gemacht. Ich kann dir ungefüger den Weg weisen aber einige Details musst du noch selbst herausfinden.

1. Den GCC Compiler und alle nötigen Pakete installieren.

sudo apt-get install build-essential libtool autotools-dev automake pkg-config bsdmainutils python3 libevent-dev libboost-system-dev libboost-filesystem-dev libboost-test-dev libboost-thread-dev libdb++-dev libsqlite3-dev libminiupnpc-dev libnatpmp-dev libzmq3-dev libqt5gui5 libqt5core5a libqt5dbus5 qttools5-dev qttools5-dev-tools libqrencode-dev

2. Den Linux-Kernel von www.kernel.org herunterladen

3. Mit dem Befehl

xz -cd /home/USER/Downloads/linux-5.X.X.X.tar.xz /usr/src/ | tar xvf -

die Datei nach /usr/src/ entpacken.

4. In das Verzeichnis

/usr/src/linux-5.X.X.X

wechseln.

5. Die Kernel config aus

/boot/config-5.X.X-X-generic

nach

/usr/src/linux-5.X.X.X/.config

kopieren.

6.

make menuconfig

ausführen.

7. Kernel editieren wie auf Screenshot zu sehen.

8. Kernel compilieren.

make -j4 && make modules && make install

9. Die Image Datei aus

/usr/src/linux-5.X.X.X/arch/x86/...bzImage

nach

/boot/efi/EFI/

kopieren (Den genauen Pfad des bzImage habe ich vergessen, es muss aber das 64-Bit Image sein, außer du hast eine 32-Bit Computer).

10. Das Image im BIOS hinzufügen, dafür gibt es ein spezielles Menü im BIOS und als erste in die boot-folge einparken.

Danach noch sauber machen mit

cd /usr/src/linux-5.X.X.X && make distclean

Oft

sudo

benutzen oder als "root" anmelden.
Der Admin-Guide hilft weiter

cat /usr/src/linux-5.X.X.X/Documentation/admin-guide/README.rst

Habe mich beim ändern des Namens der Image Datei vertippt, sollte: Kubuntu-Custom heißen, ist aber „Kubuntu-vustom“ geworden. Nicht weiter schlimm. Um den Name zu ändern, müsste ich den Kernel neu compilieren, zu viel Arbeit, wegen eines Buchstaben...

So sieht der BIOS bei mir aus. Bei dir wird es etwas anders aussehen aber die gleiche Funktion.

In das Verzeichnis wechseln, in dem sich das bzImage befindet und mit Enter auswählen.

Noch die boot-folge anpassen, speichern und neustart.

 

[cloudman]

Was aber keine Spitzfindigkeit der Welt aus derselben zu schaffen vermag, ist, wieso ausgerechnet ein Konkurrent wie MS als aufsichtsführende Behörde agieren darf

Ich denke nicht, dass Microsoft Linux als Konkurrenz sieht - sie nutzen es in der Cloud selbst sehr viel. Es gibt sogar eine MS Distro für high end switching.
Secureboot ist nun als von MS. Wer sonst sollte signieren? Canonical, debian. Jeder der mal schnell eine Distro macht..?
Ein Komitee, dass Monatelang debattiert.


Der Grund ist in der Tat eine Lücke in Grub (Boothole)

https://msrc.microsoft.com/update-guide/vulnerability/ADV200011

Wer ist also betroffen? Wer noch einen alten Boot Stick verwendet oder sein Linux nicht aktuell hält.
Unangehm könnte es für die Anbieter wie aomei u.a. sein die eventuell auch blockiert werden.

Also wieder mal große Schlagzeile und am Ende kommt im Artikel die relativierung...
Aus allem wird gleich ein Skandal gemacht - nur noch Aufregungskultur.

@root@linux warum den Kernel selbst kompilieren?
Efistub oder systemd boot ist doch deutlich einfacher
https://wiki.archlinux.org/title/EFISTUB

https://wiki.archlinux.org/title/systemd-boot

Für debian und Varianten gibt's ähnliche Anleitungen

 

[LochinSocke]

@cloudman @root@linux
Viel zu träge langsam. Ich habe mein X220 mit coreboot geflasht und teile des Kernels direkt ins Biosrom geschoben. Von Poweron bis zum Kernelboot <0,5 sec.

Ergänzung (5. September 2022)

Kannst du auch erklären, wie ich einen neuen Key für z.B. Grub aus Ubuntu 20.04 LTS auf meinem Mainboard ausrolle? Die Keys für die entsprechenden Grub Versionen wurden nicht gelöscht, sie sind auf einer Sperrliste, demnach kann man für eben diese Version nicht mal eben nen neuen Key einspielen. Man muss schon ganz paar Schritte gehen um das mal eben wieder ans laufen zu bekommen. Und Microsoft wäre hier in der Pflicht gewesen, die Hersteller der Linux Distros zu informieren und die Chance zu geben Updates vorher ausspielen zu können anstatt einfach ohne Ansage ausgesperrt zu werden.

Ist Passiert, es gibt auch updates.
https://ubuntu.com/security/notices/USN-4432-1
@cloudman hat einen Link gepostet

Sehr wertvoller Beitrag.

Vielen Dank, gerne wieder.

 

[KJQm8v]

Moin,

ich erlaube mir von der c't zu zitieren:


Gruß Kai

Ich erlaube mir zu sagen, meine Rechner haben nur LEGACY-BIOS. Da gibt es kein UEFI. Und Debian startet unter 6 Sekunden. Windows 7 ESU schaue ich mir nur kurz an. Danke für die Aufmerksamkeit für ein kurzes Zwischenspiel mit Windows 10.

 

[PHuV]

Ich erlaube mir zu sagen, meine Rechner haben nur LEGACY-BIOS. Da gibt es kein UEFI.

Da hast Du aber nur Uraltrechner da rumstehen. Wers mag...

Ergänzung (5. September 2022)

Ich denke nicht, dass Microsoft Linux als Konkurrenz sieht - sie nutzen es in der Cloud selbst sehr viel. Es gibt sogar eine MS Distro für high end switching.

Eben, die vermutete Feindschaft ist doch schon lange vorbei.

 

[cloudman]

Torvalds said:

"The whole anti-Microsoft thing was sometimes funny as a joke, but not really. Today, they're actually much friendlier. I talk to Microsoft engineers at various conferences, and I feel like, yes, they have changed, and the engineers are happy. And they're like really happy working on Linux. So I completely dismissed all the anti-Microsoft stuff."

Quelle https://www.zdnet.com/article/linus-torvalds-isnt-worried-about-microsoft-taking-over-linux/

 

[BeBur]

Also wieder mal große Schlagzeile und am Ende kommt im Artikel die relativierung...
Aus allem wird gleich ein Skandal gemacht - nur noch Aufregungskultur.

So schauts aus. Das "Warum hat MS das gemacht" wird hier im Thread erst gar nicht betrachtet, vermutlich wusste TE und andere das nicht und hat diese auch nicht interessiert, weil MS ist ja böse. In den jeweiligen Artikeln scheint es meist irgendwo im fünften Abschnitt zu stehen, also auch vor allem Clickbait und Aufregungskultur mit "MS ist ja so böse und hat wieder was böses gemacht".

 

[root@linux]

Viel zu träge langsam.

Du findaest das ist langsam?

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[LochinSocke]

Nee, ist mir egal. Ich wollte nur beim VPenis Vergleich mitmachen.

 

[Lotsenbruder]

Zitat aus LinuxWelt 6/2022 Seite 15:
Der Linux-Entwickler Matthew Garrett hat mit dem Lenovo Thinkpad z13
eines der ersten Notebooks gefunden, das Linux-Systeme bei der Ver-
wendung von Secure Boot nicht mehr booten kann. Das Linux-Verbot liegt
laut Garrett an neuen Auflagen, die Microsoft seinen Hardwarepartnern im
Zuge der Initiative „Secured Core PC“ macht. Laptops und Hauptplatinen mit
dem zusätzlichen Chip Pluton booten nur noch Systeme, die mit Microsofts
eigenem Schlüssel signiert sind. Der Secure-Boot-Schlüssel für Dritte, etwa
für größere Linux-Distributionen, funktioniert dann nicht mehr. Die Gefahr
besteht, dass die Zahl dieser Rechner in den nächsten Jahren auf Druck von
Microsoft wachsen wird. Laut Matthew Garrett bringt „Secured Core PC“ keinerlei Sicherheitsgewinn, sondern dient nur dem Ausschluss
alternativer Systeme. Immerhin ist das verschärfte Secure Boot beim Lenovo Thinkpad z13 manuell abschaltbar.

Ohne weiteren Kommentar.

 

[cloudman]

Laptops und Hauptplatinen mit
dem zusätzlichen Chip Pluton booten nur noch Systeme, die mit Microsofts
eigenem Schlüssel signiert sind. Der Secure-Boot-Schlüssel für Dritte, etwa
für größere Linux-Distributionen, funktioniert dann nicht mehr.

In zwei Sätzen 2 Fehler spricht wohl auch für sich. Gibt übrigens noch mehr Ungenauigkeiten in dem Artikel

- Pluton kommt nicht als Chip auf das Mainboard sondern wird von AMD, Intel Qualcomm direkt in die CPU integriert (Wenn sie es den wollen)

- Größere aktuelle Linux Distributionen waren gar nicht betroffen. Wenn die Distro in den letzten Monaten den boot loader aktualisiert haben booten ohne Probleme z.B Ubuntu 22.04 LTS

 

[.one]

Immerhin ist das verschärfte Secure Boot beim Lenovo Thinkpad z13 manuell abschaltbar.

Und wo ist nun das Problem? Dass ein Unix-User das nicht abgeschaltet bekommt? Also bitte... Matthew hatte scheinbar nichts vernünftiges zu sagen.