Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

[ittk]

Danke für die Info.
Ich habe sowohl UEFI PXE Boot im IPv4 als auch IPv6 Modus (Default) aktiv, aber ich boote bzw. nutze nur IPv4 im Netzwerk und boote daher nur mit IPv4. Siehtst Du darin ein Problem?

Do you have the ipv4 network stack for uefi enabled in the bios?

[ittk]

Das Bild (habe es nur als Bild beim einem Webhoster hochladen können, habe ich Dir im letzten Posting bereitgestellt.
Wie gesagt, ich komme nur ins linux-bootimage zum booten, wenn Secure Boot NICHT im User Modus, sondern im SETUP Modus ist. Sonst keine Chance.

Dann wird im syslog auch das dann geloggt, weil das linux-bootimage (standard) im grub Menü auswählbar ist und auch startet, sonst hätte ich auch nicht das Foto mit den ergebnis des Befehls mokutil --list-enrolled bereitstellen können

Code: Alles auswählen

Feb  1 12:17:01 opsiserver CRON[8881]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Feb  1 12:20:21 opsiserver in.tftpd[8884]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:20:21 opsiserver in.tftpd[8884]: tftp: client does not accept options
Feb  1 12:20:21 opsiserver in.tftpd[8885]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:20:21 opsiserver in.tftpd[8886]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/grubx64.efi
Feb  1 12:20:21 opsiserver in.tftpd[8887]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/command.lst
Feb  1 12:20:21 opsiserver in.tftpd[8888]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/fs.lst
Feb  1 12:20:21 opsiserver in.tftpd[8889]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/crypto.lst
Feb  1 12:20:21 opsiserver in.tftpd[8890]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/terminal.lst
Feb  1 12:20:21 opsiserver in.tftpd[8891]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:21 opsiserver in.tftpd[8892]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:21 opsiserver in.tftpd[8893]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:21 opsiserver in.tftpd[8894]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:21 opsiserver in.tftpd[8895]: RRQ from 10.190.6.137 filename /linux/pxelinux.cfg/01-3c-18-a0-1c-73-22
Feb  1 12:20:37 opsiserver in.tftpd[8896]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:20:37 opsiserver in.tftpd[8896]: tftp: client does not accept options
Feb  1 12:20:37 opsiserver in.tftpd[8897]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:20:37 opsiserver in.tftpd[8898]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/grubx64.efi
Feb  1 12:20:38 opsiserver in.tftpd[8899]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/command.lst
Feb  1 12:20:38 opsiserver in.tftpd[8900]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/fs.lst
Feb  1 12:20:38 opsiserver in.tftpd[8901]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/crypto.lst
Feb  1 12:20:38 opsiserver in.tftpd[8902]: RRQ from 10.190.6.137 filename /grub/x86_64-efi/terminal.lst
Feb  1 12:20:38 opsiserver in.tftpd[8903]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:38 opsiserver in.tftpd[8904]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:38 opsiserver in.tftpd[8905]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:38 opsiserver in.tftpd[8906]: RRQ from 10.190.6.137 filename /grub/grub.cfg
Feb  1 12:20:38 opsiserver in.tftpd[8907]: RRQ from 10.190.6.137 filename /linux/pxelinux.cfg/01-3c-18-a0-1c-73-22
Feb  1 12:21:13 opsiserver systemd[1]: Starting Daily apt download activities...
Feb  1 12:21:30 opsiserver systemd[1]: Started Daily apt download activities.
Feb  1 12:22:49 opsiserver in.tftpd[9000]: RRQ from 10.190.6.137 filename /linux/install-x64
Feb  1 12:22:52 opsiserver in.tftpd[9001]: RRQ from 10.190.6.137 filename /linux/miniroot-x64.bz2
Feb  1 12:40:42 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.199:123 (ntp.ubuntu.com).
Feb  1 12:40:52 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.198:123 (ntp.ubuntu.com).
Feb  1 12:41:02 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.94.4:123 (ntp.ubuntu.com).
Feb  1 12:41:13 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.91.157:123 (ntp.ubuntu.com).
Feb  1 13:01:16 opsiserver systemd[1]: Started Run anacron jobs.
Feb  1 13:01:16 opsiserver anacron[9043]: Anacron 2.3 started on 2022-02-01
Feb  1 13:01:16 opsiserver anacron[9043]: Normal exit (0 jobs run)
Feb  1 13:03:16 opsiserver systemd[1]: Starting Ubuntu Advantage Timer for running repeated jobs...
Feb  1 13:03:17 opsiserver systemd[1]: Started Ubuntu Advantage Timer for running repeated jobs.
Feb  1 13:15:31 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.94.4:123 (ntp.ubuntu.com).
Feb  1 13:15:41 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.198:123 (ntp.ubuntu.com).
Feb  1 13:15:52 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.199:123 (ntp.ubuntu.com).
Feb  1 13:16:02 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.91.157:123 (ntp.ubuntu.com).
Feb  1 13:17:01 opsiserver CRON[9079]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Feb  1 13:17:38 opsiserver systemd[1]: Started Session 381 of user root.

Hi

ja starte einfach das 64bit bootimage und wechsle die Konsole und schau mal nach den Keys.
Ich hätte erwartet das der grubx64.efi noch angefragt wird, weil da die meistens geblockt wird wenn mit dem Key etwas nicht stimmt oder die Datei per blacklist DB geblockt sein sollte.

Gruß
Mathias

[m.radtke]

Hi

ja, das ist unser key, eigentlich müsste da mehr drin stehen.
Ich hätte zumindest noch den Lenovo Key erwartet und den MS UEFI Key.

ruft mal

Code: Alles auswählen

moktuil --sb-state

auf und schau was zurück kommt

Alrternativ kannst du versuchen ein Ubuntu per Stick im user mode zu installieren und dann im installierten system nochmals den list-enrolled Befehl ausführen und schauen welche Keys im user mode vorhanden sind.

[ittk]

Hi,

danke Dir.

Wie gesagt, ich komme nur im SETUP Modus beim L15 Gen2 ins opsi-linux-bootimage, um die mokutil befehle abzusetzen. Sobald ich im User Mode bin, dann kommt gar nichts. Siehe hier, was dann nicht mehr erscheint: https://easyupload.io/u20buo

Der moktuil --sb-state bringt das Ergebnis beim L15 Gen 2 im Setup Modus: https://easyupload.io/a2ve0o
Also de facto wird secure boot im Setup Modus als AUS gewertet.

Hier noch zum Vergleich vom funktionalen E15, welches sich im Secure Boot User Mode befindet: https://easyupload.io/m/k198is

Also blacklistet Lenovo ggfs auch einen Debian / Linux Bootloader im L15 Gen 2, der von UIB genutzt wird?

Hi

ja, das ist unser key, eigentlich müsste da mehr drin stehen.
Ich hätte zumindest noch den Lenovo Key erwartet und den MS UEFI Key.

ruft mal

Code: Alles auswählen

moktuil --sb-state

auf und schau was zurück kommt

Alrternativ kannst du versuchen ein Ubuntu per Stick im user mode zu installieren und dann im installierten system nochmals den list-enrolled Befehl ausführen und schauen welche Keys im user mode vorhanden sind.

[m.radtke]

Alternativ kannst du versuchen ein Ubuntu per Stick im user mode zu installieren und dann im installierten system nochmals den list-enrolled Befehl ausführen und schauen welche Keys im user mode vorhanden sind.

Probiere das.

Wenn das schon beim Download der shimx64.efi.signed abbricht ist wohl der MS Key nicht vorhanden. Kann ich aber nicht genau sagen, da wir solch ein Gerät nicht im Büro stehen haben.

[ittk]

Würde es Euch helfen, Euch so ein Gerät zum Testen zukommen zu lassen?

Alternativ kannst du versuchen ein Ubuntu per Stick im user mode zu installieren und dann im installierten system nochmals den list-enrolled Befehl ausführen und schauen welche Keys im user mode vorhanden sind.

Probiere das.

Wenn das schon beim Download der shimx64.efi.signed abbricht ist wohl der MS Key nicht vorhanden. Kann ich aber nicht genau sagen, da wir solch ein Gerät nicht im Büro stehen haben.

[m.radtke]

Hi, ja das würde sicherlich helfen.

Gruß
Mathias

[ittk]

Hier unten im zitierten Beitrag schreibst Du etwas von grub Version 2.06

Wenn ich im Bootmenü bin, dann zeigt es oben mittig zentriert diese Version an:

GNU GRUB version 2.02+dfsg1-20 (vgl. Bildupload: https://easyupload.io/t76gd0)

Ist es also noch nicht eine passende, aktuelle Version? Und ergo dadurch ein Problem?
Verstehe nur nicht, wieso die grub version veraltet wäre, wenn doch sonst alles vom opsi 4.2 auf Stand ist?
Wie kann man das prüfen / korrigieren?

Vielleicht es es dann das Problem?

P. S.: M. E. nutze ich ein komplett aktuelles OPSI 4.2 STABLE Zweig unter Ubuntu 18.04 LTS.

Was mich halt wunder ist, das es im setup mode läuft, aber nicht im user mode.
Normalerweise sollten da keine anderen Keys hinterlegt sein.

Bei welcher Datei steigt denn der Netboot aus?
Dazu musst du mal ins syslog schauen welche Dateien übertragen werden und wann die Übertragung aufhört.

Unsere shimx64.efi.signed ist von MS signiert und beinhaltet unseren Key, mit dem dann grubx64.efi und der Kernel des Bootimages signiert sind.

Du kannst auch mal das Bootimage im setup mode startet und dich dann per ssh einloggen: Benutzername root, Passwort linux123 und mit

Code: Alles auswählen

mokutil --list-enrolled

schauen welche Keys eingetragen sind.

Meines Wissens nach wurden die von Boothole betroffenen grub Versionen mittels Hash Revocation in die Blacklist DB eingetragen.
Unser Grub ist nun in Version 2.06 beim aktuellen opsi-linux-bootimage und sollte davon nicht betroffen sein.

Gruß
Mathias

[m.radtke]

Code: Alles auswählen

dpkg -l | grep opsi 

?

[ittk]

Vielen lieben Dank.

Ist wohl nicht das Neuste aus OPSI 4.2 STABLE... Sidn wohl mehere Pakete mit 4.0 und 4.1.xx VERSIONEN DABEI??? Habe eigentlich alles immer strikt nach Anleitung aktualisiert und auch das Upgrade von OPSI 4.0 -> 4.1 auf jetzt 4.2 Stable....
Wie kann ich es antriggern? Und optimalerweise installieren?

Code: Alles auswählen

ii  libwhoopsie-preferences0               0.19                                                                                                                                                         amd64        Ubuntu error tracker submission settings - shared librar                                                                                                             y
ii  libwhoopsie0:amd64                     0.2.62ubuntu0.6                                                                                                                                              amd64        Ubuntu error tracker submission - shared library
rc  opsi-atftpd                            0.7.dfsg-6                                                                                                                                                   amd64        advanced TFTP server - opsi version with pcre, fifo and                                                                                                              max-blksize patches
ii  opsi-configed                          4.0.7.6.34-2                                                                                                                                                 all          OPSI config editor
ii  opsi-linux-bootimage                   20211102-1                                                                                                                                                   all          opsi bootimage for netboot tasks.
ii  opsi-linux-support                     4.1.1-3                                                                                                                                                      all          Configure system to be able to deploy Linux with opsi.
rc  opsi-server                            4.1.1.8-1                                                                                                                                                    all          opsi server configuration package
ii  opsi-server-full                       4.2.0.57-1                                                                                                                                                   all          opsi server
ii  opsi-tftpd-hpa                         5.2.8-76                                                                                                                                                     amd64        HPA's tftp server
ii  opsi-utils                             4.2.0.145-1                                                                                                                                                  amd64        Utilities for working with opsi
ii  opsi-windows-support                   4.2.0.0-1                                                                                                                                                    all          Install utilities useful for deploying Windows with ops                                                                                                              .
ii  opsiconfd                              4.2.0.225-1                                                                                                                                                  amd64        opsi configuration service
ii  opsipxeconfd                           4.2.0.22-1                                                                                                                                                   amd64        opsi pxe configuration service
rc  python-opsi                            4.1.1.101-1                                                                                                                                                  all          opsi python library
ii  whoopsie-preferences                   0.19                                                                                                                                                         amd64        System preferences for error reporting

Code: Alles auswählen

dpkg -l | grep opsi 

?