Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

ittk
Beiträge: 36
Registriert: 28 Mai 2018, 15:14

Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von ittk »

Hallo zusammen,

vorhanden ist ein OPSI System auf aktuellsten 4.2 Stand.

Das Lenovo L15 Gen. 2. Modell 20X300GBGE lässt sich nicht bei aktivem UEFI und SecureBoot im User Mode installieren. Das Gerät hat keine interne Netzwerkkarte, sondern benötigt einen Adapterstecker (dieser hat dann eine andere MAC-Adresse - abweichend zu der auf dem Pappkarton vom gelieferten Notebook und bzw. auch der MAC-Adresse, die im UEFI ablesbar ist - Karton und UEFI MAC-Adresse sind identisch, der Adapter hat eine andere MAC-Adresse). Aber ich sehe noch nichtmals das Grub / Bootloader Auswahlmenü, um bspw. das opsi-linux-bootimage manuell starten zu können.

Nur wenn wir den Secure Boot im Setup Modus setzen, lässt sich das Gerät installieren und natürlich im UEFI wieder von Setup auf User Mode / Factory Mode ändern, dann funktioniert das installierte Windows 10 weiterhin.
Jedoch ist keine Installation per OSPI möglich, wenn der Auslieferungszustand im SecureBoot auf User Mode gestellt ist!
Ein Lenovo E15 20TD0003GE mit intern verbauter Netzwerkkarte funktioniert hingegen einwandfrei mit den Default SecureBoot Einstellungen.

Welche Informationen / Logfiles sind notwendig, um den Fehler zu analysieren und abstellen zu können?

Vielen Dnak.
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1517
Registriert: 10 Jun 2015, 12:19

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von m.radtke »

Hi

der setup mode ist eigentlich dafür gedacht neue Schlüssel in das UEFI einzubinden.

Der user mode sollte alle vorhandenen Schlüssel beinhalten.

Nur gibt es keine wirkliche Definition welche Schlüssel im Werkzustand vorhanden sein müssen.
Ich würde mal vorschlagen du suchst die Einstellung zum Wiederherstellen der Schlüssel (Factory Keys oder ähnlich) und schaust dann ob die Installation im User Mode klappt.

Gruß
Mathias
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
ittk
Beiträge: 36
Registriert: 28 Mai 2018, 15:14

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von ittk »

Danke werde ich ausprobieren,

Habe noch diese Readme zur neusten BIOS/UEFI-Version gefunden, m. E. ist diese Version 1.53 bereits im Gerät installiert:
https://download.lenovo.com/pccbbs/mobiles/r1juj10w.txt
Da schreiben die etwas von einem IntelSecure fix und das hier, vielleicht hat das auch noch etwas zu bedeuten, oder hilft?
Mann muss im Codebereich runterscrollen, weil sonst nicht alles direkt im Forum zu lesen ist.... oder direkt die txt von o. g. Link nehmen...

Code: Alles auswählen

- In order to update the BIOS version 1.41 or later from version 1.09 or below,
  customer has to update the BIOS version 1.10 first, then update to newer version.

- Be aware that the OS Optimized Defaults option in the Restart menu of ThinkPad
  Setup should not be normally changed. Lenovo recommends to use the factory
  default setting for it, as follows.


  - OS Optimized Defaults                              [Enabled]

  If the OS Optimized Defaults setting is changed, Setup Default by the F9 key
  will not load the same default configuration, as follows. Furthermore, by the
  condition of Operating System installation, the computer may not be booted due
  to the setting change.

  If your computer runs satisfactorily now, you have no need to change the OS
  Optimized Defaults option. If you need to change the setting, consider well
  the effect of the setting change.

  Affected Setup menu items :
  "OS Optimized Defaults" setting          [Disabled] case      [Enabled] case
  - Security
    - Security Chip
      - IntelR TXT Feature                 [Disabled]           [Enabled]
    - UEFI BIOS Update Option
      - Secure RollBack Prevention         [Disabled]           [Enabled]
    - Virtualization
      - Intel(R) Virtualization Technology [Disabled]           [Enabled]
      - Intel(R) VT-d Feature              [Disabled]           [Enabled]
    - Secure Boot
      - Secure Boot                        [Disabled]           [Enabled]
  - Startup
    - UEFI/Legacy Boot                     [Both]               [UEFI Only]
    - UEFI/Legacy Boot Priority            [UEFI First]         (Not shown)
    - CSM Support                          [Yes]                [No]

  (Caution)
  If both the Secure Boot option is Enabled and UEFI Secure Boot in the Main
  menu of ThinkPad Setup is shown as Off, restoring Factory Keys is needed. Do
  the following to restore Factory Keys.

  1. Enter the ThinkPad Setup menu by following steps in [Checking On ThinkPad
     Setup] in the DETERMINING WHICH VERSION IS INSTALLED section.
  2. Select Security, then select Secure Boot.
  3. Select Restore Factory Keys, and press Enter.
  4. Select Yes to restore Factory keys.
  5. Press the F10 key to save configuration and exit.
  6. Select Yes.
     The computer will be restarted automatically.
    
m.radtke hat geschrieben: 31 Jan 2022, 14:50 Hi

der setup mode ist eigentlich dafür gedacht neue Schlüssel in das UEFI einzubinden.

Der user mode sollte alle vorhandenen Schlüssel beinhalten.

Nur gibt es keine wirkliche Definition welche Schlüssel im Werkzustand vorhanden sein müssen.
Ich würde mal vorschlagen du suchst die Einstellung zum Wiederherstellen der Schlüssel (Factory Keys oder ähnlich) und schaust dann ob die Installation im User Mode klappt.

Gruß
Mathias
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1517
Registriert: 10 Jun 2015, 12:19

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von m.radtke »

Moin,

mach mal ein "Restore Factory Keys" und schau ob die Installation im user mode dann klappt.
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
ittk
Beiträge: 36
Registriert: 28 Mai 2018, 15:14

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von ittk »

Moin,

danke für die Antwort. Nein, hat leider nicht geholfen.
Hat sonst noch jemand eine Idee? Gibt es irgendwelche Logfiles, oder Stellen, wo man etwas nachprüfen / analysieren kann?

Kann es sein, dass das Lenovo L15 Gen.2 nur noch neuere Microsoft signed Keys integriert hat, die nicht mehr dem OPSi LINUX-Botoimage (was auch von Microsoft gesignt ist?!?) mehr vertraut? Kannd das sein?
m.radtke hat geschrieben: 01 Feb 2022, 09:53 Moin,

mach mal ein "Restore Factory Keys" und schau ob die Installation im user mode dann klappt.
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1517
Registriert: 10 Jun 2015, 12:19

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von m.radtke »

Was mich halt wunder ist, das es im setup mode läuft, aber nicht im user mode.
Normalerweise sollten da keine anderen Keys hinterlegt sein.

Bei welcher Datei steigt denn der Netboot aus?
Dazu musst du mal ins syslog schauen welche Dateien übertragen werden und wann die Übertragung aufhört.

Unsere shimx64.efi.signed ist von MS signiert und beinhaltet unseren Key, mit dem dann grubx64.efi und der Kernel des Bootimages signiert sind.

Du kannst auch mal das Bootimage im setup mode startet und dich dann per ssh einloggen: Benutzername root, Passwort linux123 und mit

Code: Alles auswählen

mokutil --list-enrolled
schauen welche Keys eingetragen sind.

Meines Wissens nach wurden die von Boothole betroffenen grub Versionen mittels Hash Revocation in die Blacklist DB eingetragen.
Unser Grub ist nun in Version 2.06 beim aktuellen opsi-linux-bootimage und sollte davon nicht betroffen sein.

Gruß
Mathias
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
ittk
Beiträge: 36
Registriert: 28 Mai 2018, 15:14

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von ittk »

Vielen Dank für die Hilfe.

Es steigt im PXE-boot VOR der Meldung Fetching Netboot Image aus (diese Zeile erscheint gar nicht) nur im Setup Modus.

Hier noch der syslog Auszug:

Code: Alles auswählen

Feb  1 12:00:57 opsiserver in.tftpd[8659]: tftp: client does not accept options
Feb  1 12:01:31 opsiserver systemd[1]: Started Run anacron jobs.
Feb  1 12:01:31 opsiserver anacron[8661]: Anacron 2.3 started on 2022-02-01
Feb  1 12:01:31 opsiserver anacron[8661]: Normal exit (0 jobs run)
Feb  1 12:04:18 opsiserver systemd[1]: Started Session 375 of user root.
Feb  1 12:05:53 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.91.157:123 (ntp.ubuntu.com).
Feb  1 12:06:03 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.94.4:123 (ntp.ubuntu.com).
Feb  1 12:06:13 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.198:123 (ntp.ubuntu.com).
Feb  1 12:06:23 opsiserver systemd-timesyncd[565]: Timed out waiting for reply from 91.189.89.199:123 (ntp.ubuntu.com).
Feb  1 12:07:57 opsiserver in.tftpd[8718]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:07:57 opsiserver in.tftpd[8718]: tftp: client does not accept options
Feb  1 12:07:57 opsiserver in.tftpd[8719]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Feb  1 12:08:01 opsiserver systemd[1]: Started Session 376 of user root.
Feb  1 12:09:25 opsiserver systemd[1]: Started Session 377 of user root.
Feb  1 12:09:43 opsiserver in.tftpd[8818]: RRQ from 10.190.6.137 filename linux/pxelinux.cfg/shimx64.efi.signed
Mehr Dateien werden nicht heruntergeladen, weil im UEFI Boot sofort wieder nach NBP File downloaded successfully sofort wieder ins UEFI Bootmenü gewechselt wird.

Zu Deiner Frage und um den von Dir genannten Befehl ausführen zu können:

Wie komme ich in die opsi-linux-bootimage Konsole, um mich einloggen zu können?
Welche Tastenkombi war es nochmal?

Alt+Fn?? -> EDIT HABE ES ist Alt+F2 :)

Ich würde dann einfach im UEFI Setup Modus --> das den ersten Eintrag Start opsi bootmage (x64) - Standard booten. Ist dies korrekt?


m.radtke hat geschrieben: 01 Feb 2022, 11:47 Was mich halt wunder ist, das es im setup mode läuft, aber nicht im user mode.
Normalerweise sollten da keine anderen Keys hinterlegt sein.

Bei welcher Datei steigt denn der Netboot aus?
Dazu musst du mal ins syslog schauen welche Dateien übertragen werden und wann die Übertragung aufhört.

Unsere shimx64.efi.signed ist von MS signiert und beinhaltet unseren Key, mit dem dann grubx64.efi und der Kernel des Bootimages signiert sind.

Du kannst auch mal das Bootimage im setup mode startet und dich dann per ssh einloggen: Benutzername root, Passwort linux123 und mit

Code: Alles auswählen

mokutil --list-enrolled
schauen welche Keys eingetragen sind.

Meines Wissens nach wurden die von Boothole betroffenen grub Versionen mittels Hash Revocation in die Blacklist DB eingetragen.
Unser Grub ist nun in Version 2.06 beim aktuellen opsi-linux-bootimage und sollte davon nicht betroffen sein.

Gruß
Mathias
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von SisterOfMercy »

Do you have the ipv4 network stack for uefi enabled in the bios?
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1517
Registriert: 10 Jun 2015, 12:19

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von m.radtke »

Hi

ja starte einfach das 64bit bootimage und wechsle die Konsole und schau mal nach den Keys.
Ich hätte erwartet das der grubx64.efi noch angefragt wird, weil da die meistens geblockt wird wenn mit dem Key etwas nicht stimmt oder die Datei per blacklist DB geblockt sein sollte.

Gruß
Mathias
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
ittk
Beiträge: 36
Registriert: 28 Mai 2018, 15:14

Re: Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

Beitrag von ittk »

Hi,

hier die Datei als Download: https://easyupload.io/9c2ekz von dem Befehl mokutil --list-enrolled
Ist damit etwas anzufangen?
m.radtke hat geschrieben: 01 Feb 2022, 13:07 Hi

ja starte einfach das 64bit bootimage und wechsle die Konsole und schau mal nach den Keys.
Ich hätte erwartet das der grubx64.efi noch angefragt wird, weil da die meistens geblockt wird wenn mit dem Key etwas nicht stimmt oder die Datei per blacklist DB geblockt sein sollte.

Gruß
Mathias
Antworten