Отсутствие подписанного EFI-загрузчика

[nickm]

Уважаемые, здравствуйте!

Сталкивался ли кто-нибудь с сабжем?

Нынче производителями мат.плат/ устройств, форсируется применение "Secure Boot", например, из последнего для поддерживаемых мат.плат "Gigabyte":

Improves platform security by making Secure Boot enabled as system default

При этом, указанная выше фича не отключаемая, т.е. с актуальным "firmware UEFI BIOS" на мат.плате пользователи не смогут загрузить операционную систему, получая в ответ что-то типа такого:

Какие способы решения можете подсказать? Пока вижу такое, рядышком с "ROSA" устанавливать Linux-based-операционную систему с подписанным загрузчиком.

--
С ув., Николай.

[nickm]

Пока вижу такое, рядышком с "ROSA" устанавливать Linux-based-операционную систему с подписанным загрузчиком.

Хех, и чем это поможет? GRUB загрузится, а дальше что делать, ведь будет ошибка по поводу некорректной подписи shim?

[irton]

Ну еще можно (проверенный мной случай)
- вытащить SSD, на другом компе поставить на него Роса
- взять из Федоры бинарники ядра (с модулями), shim, grub2 и т.п. и заменить росовские на SSD (initrd не помню надо ли)
- добавить в dnf исключение чтобы не обновляло grub2 и kernel


Или обратный вариант:
- поставить на SSD Федору
- вытащить SSD и заменить в / все файлами из Роса установленной на другом ПК (кроме /boot и lib64/modules)
- добавить в dnf исключение чтобы не обновляло grub2 и kernel

[IgorS]

Полагаю, что аппаратное свинство касается не только Росы, но и других российских операционных систем. Наилучшее решение - выбирать платы другого производителя, у которого Secure Boot отключается. Иначе нас всех просто обложат оброком в пользу производителей матчасти.

[nickm]

аппаратное свинство касается не только Росы

Как именно следует понимать данное сочетание слов?

касается не только Росы, но и других российских операционных систем

Возможно, но не всех;

Наилучшее решение - выбирать платы другого производителя, у которого Secure Boot отключается

Хех, утомишься. И, что делать уже с теми, которые уже имеются в наличии?

Вот крайний случай, который привёл к написанию этой темы на форуме: каюсь, имеется "плохая" привычка обновлять "firmware" используемых устройств. Типа "топлю за безопасность". Вот и в этот раз, обновил и словил проблему - да, вопрос разрешил, но пришлось чуть-чуть повозиться - "не две клавиши нажать", но как говорится, "осадочек остался".

[kartavenko]

Поделитесь своим опытом, как решили?

[Survolog]

Поставьте пароль на биос. Напишите на бумажку. Приклейте её скотчем. Выключите "Secure Boot".

[nickm]

Поделитесь своим опытом, как решили?

Да, конечно, специально заскринил весь процесс обновления "firmware UEFI BIOS", поэтому пост будет содержать очень много скриншотов и пояснений, не обессудьте:

Итак:
0.
Имею "плохую" привычку обновлять "firmware UEFI BIOS" мат.плат и делаю это часто и постоянно;

1.
Например, имеем установленную операционную систему в режиме "EFI", включённым "Secure Boot" и, что важно, включённым "TPM" на "GIGABYTE B660M DS3H DDR4". Поясню, что эта установка производилась несколько лет назад, ещё с дистрибутива "R12", поэтому уже не упомню что и как было:

2.
До обновления "firmware UEFI BIOS" до крайней версии, "Secure Boot" как включается, так и отключается, операционная система загружается и при включённом "Secure Boot" (обратите внимание на режим "System Mode" он в состоянии "Setup"):

[nickm]

3.
Выполняем обновление "firmware UEFI BIOS" до крайней версии:

4.
После обновления и перезагрузки получаем ошибку загрузки операционной системы из этого сообщения.

"Secure Boot" становится неотключаемым, а режим "System Mode" переходит в состояние "Deployed":

5.
Для того, что бы разблокировать страницу настроек "Secure Boot", требуется сначала отключить "TPM", выполняю:

6.
После сохранения изменений и перезагрузки появляется возможность изменять настройки на странице "Secure Boot":

7.
После отключаю "Secure Boot" и включаю "TPM":

8.
По окончанию загружаю ранее установленную операционную систему "РОСА ФРЕШ R13.1" с отключённым "Secure Boot".