Secureboot UEFI Default Lenovo L15 Gen. 2 funktioniert nicht

[m.radtke]

Hi

grub 2.06 kam mit

Code: Alles auswählen

opsi-linux-bootimage (20211209-1) testing; urgency=low

  * kernel 5.15.7
  * modularized ARCNET driver
  * updated grubx64.efi to 2.0.6
  * grub.cfg: added UEFI Firmware entry

 -- Mathias Radtke <m.radtke@uib.de> Thu, 09 Dec 2021 11:13:00 +0200
 

Die aktuelle version in opsi 4.2 stable ist 20211214-1

Gruß
Mathias

[ittk]

Hi,

habe das Upgrade auf 4.2 ca am 23.1.2022 durchgeführt von opsi 4.1 stable. Komisch, dass sich es dann nicht habe?
Welche Befehle fehlen dann noch? Oder sollten nochmals ausgeführt werden? und danach auch noch irgendwelche opsi-setup .... Befehle?

Hi

grub 2.06 kam mit

Code: Alles auswählen

opsi-linux-bootimage (20211209-1) testing; urgency=low

  * kernel 5.15.7
  * modularized ARCNET driver
  * updated grubx64.efi to 2.0.6
  * grub.cfg: added UEFI Firmware entry

 -- Mathias Radtke <m.radtke@uib.de> Thu, 09 Dec 2021 11:13:00 +0200
 

Die aktuelle version in opsi 4.2 stable ist 20211214-1

Gruß
Mathias

[SisterOfMercy]

habe das Upgrade auf 4.2 ca am 23.1.2022 durchgeführt von opsi 4.1 stable. Komisch, dass sich es dann nicht habe?
Welche Befehle fehlen dann noch? Oder soltlen nochmals ausgeführt werden? und danach auch noch irgendwelche opsi-setup .... Befehle?

Try to update your distro packages, it should get there. If not, check your 4.2 repository.

[ittk]

Danke.

habe mal diese Befehlskombi ausgeführt:

Code: Alles auswählen

apt update && apt upgrade

Ist das so ok?

Aber noch nicht den gesamten OPSISERVER rebootet.

Passen nun alle u. g. Versionen nach dem update / upgrade Befehlen?
Oer sind gewisse 4.1 oder 4.0 Versionen (z. b. opsi-configed ) noch nicht aktualisiert und müssten es? wie Version 4.1x.. von python-opsi???

Ich werde erst wieder morgen weiter zum Testen kommen. Danke für die ganze Hilfe / Unterstützung.

Code: Alles auswählen

ii  libwhoopsie-preferences0               0.19                                            amd64        Ubuntu error tracker submission settings - shared library
ii  libwhoopsie0:amd64                     0.2.62ubuntu0.6                                 amd64        Ubuntu error tracker submission - shared library
rc  opsi-atftpd                            0.7.dfsg-6                                      amd64        advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed                          4.0.7.6.34-2                                    all          OPSI config editor
ii  opsi-linux-bootimage                   20211214-1                                      all          opsi bootimage for netboot tasks.
ii  opsi-linux-support                     4.2.0.0-1                                       all          Configure system to be able to deploy Linux with opsi.
rc  opsi-server                            4.1.1.8-1                                       all          opsi server configuration package
ii  opsi-server-full                       4.2.0.57-1                                      all          opsi server
ii  opsi-tftpd-hpa                         5.2.8-76                                        amd64        HPA's tftp server
ii  opsi-utils                             4.2.0.145-1                                     amd64        Utilities for working with opsi
ii  opsi-windows-support                   4.2.0.0-1                                       all          Install utilities useful for deploying Windows with opsi.
ii  opsiconfd                              4.2.0.225-1                                     amd64        opsi configuration service
ii  opsipxeconfd                           4.2.0.22-1                                      amd64        opsi pxe configuration service
rc  python-opsi                            4.1.1.101-1                                     all          opsi python library
ii  whoopsie-preferences                   0.19                                            amd64        System preferences for error reporting

habe das Upgrade auf 4.2 ca am 23.1.2022 durchgeführt von opsi 4.1 stable. Komisch, dass sich es dann nicht habe?
Welche Befehle fehlen dann noch? Oder soltlen nochmals ausgeführt werden? und danach auch noch irgendwelche opsi-setup .... Befehle?

Try to update your distro packages, it should get there. If not, check your 4.2 repository.

[SisterOfMercy]

habe mal diese Befehlskombi ausgeführt:

Code: Alles auswählen

apt update && apt upgrade

Ist das so ok?
Aber noch nicht den gesamten OPSISERVER rebootet.

I don't know, I don't run your server. But for ubuntu that is probably ok.

And uh, it's not windows.. you don't have to reboot the opsi server.

Passen nun alle u. g. Versionen nach dem update / upgrade Befehlen?
Oer sind gewisse 4.1 oder 4.0 Versionen (z. b. opsi-configed ) noch nicht aktualisiert und müssten es? wie Version 4.1x.. von python-opsi???

The "rc" in front means something. Look it up

[ittk]

Moin zusammen,

nachdem ich ja gestern festgestellt habe, dass das opsi-linux-bootimage noch nicht auf der neusten Version war, dachte ich, dass der Fehler gefunden wurde.

Aber leider besteht das Problem nach wie vor mit dem aktuellen opsi-linux-bootimage auch. Das wird gar nicht vom Lenovo geladen. Die Fetching Zeile im PXE Boot fehlt, es kehrt dann immer direkt in den PXE Boot Menü zurück.

Es sind diverse Einträge in der Secure Boot Keyverwaltung die Forbidden Signature Database (DBX), dort sind 269 SHA256 Hashwerte eingetragen, und zwei X.509 Einträge, davon einer Debian Secure Boot Signer und darauffolgend die 269 SHA256 Hashwerte. (Siehe hier habe ich die Bilder hochgeladen: https://easyupload.io/m/p5awt7

Das BIOS kann ich nicht weiter upgraden, es ist bereits die neuste Version 1.53 drauf. Ich wenn ich es versuche zu upgraden, kommt die Meldung, es ist aktuell...

Ich gehe davon aus, dass der Bootloader in Version 2.06 blockiert wird, weil -wie gesagt - die Zeile mit Fetching linux-Bootimage nicht erscheint.
Also was kann man noch tun? Gibt es noch weitere Ideen?

Wie lautet denn der SHA256 Wert von Euren genutzten GRUB Bootloader / und dem Zeritfikat, dann kann ich die 269 Einträge mal danach durchschauen....

Diese nachfolgenden Versionen sind jetzt drauf? Passt es alles? Oder stimmt noch etwas nicht?
Ist das python-opsi mittlerweile ins opsi-utils integriert worden?

Code: Alles auswählen

ii  libwhoopsie-preferences0               0.19                                            amd64        Ubuntu error tracker submission settings - shared library
ii  libwhoopsie0:amd64                     0.2.62ubuntu0.6                                 amd64        Ubuntu error tracker submission - shared library
rc  opsi-atftpd                            0.7.dfsg-6                                      amd64        advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed                          4.0.7.6.34-2                                    all          OPSI config editor
ii  opsi-linux-bootimage                   20211214-1                                      all          opsi bootimage for netboot tasks.
ii  opsi-linux-support                     4.2.0.0-1                                       all          Configure system to be able to deploy Linux with opsi.
rc  opsi-server                            4.1.1.8-1                                       all          opsi server configuration package
ii  opsi-server-full                       4.2.0.57-1                                      all          opsi server
ii  opsi-tftpd-hpa                         5.2.8-76                                        amd64        HPA's tftp server
ii  opsi-utils                             4.2.0.145-1                                     amd64        Utilities for working with opsi
ii  opsi-windows-support                   4.2.0.0-1                                       all          Install utilities useful for deploying Windows with opsi.
ii  opsiconfd                              4.2.0.225-1                                     amd64        opsi configuration service
ii  opsipxeconfd                           4.2.0.22-1                                      amd64        opsi pxe configuration service
rc  python-opsi                            4.1.1.101-1                                     all          opsi python library
ii  whoopsie-preferences                   0.19                                            amd64        System preferences for error reporting

Hi

grub 2.06 kam mit

Code: Alles auswählen

opsi-linux-bootimage (20211209-1) testing; urgency=low

  * kernel 5.15.7
  * modularized ARCNET driver
  * updated grubx64.efi to 2.0.6
  * grub.cfg: added UEFI Firmware entry

 -- Mathias Radtke <m.radtke@uib.de> Thu, 09 Dec 2021 11:13:00 +0200
 

Die aktuelle version in opsi 4.2 stable ist 20211214-1

Gruß
Mathias

[ittk]

@m.radtke

Gibt es sonst noch Ideen und ich hatte gestern noch in diesem Beitrag: viewtopic.php?p=55595#p55595 Fragen gestellt und Bilder hochgeladen:

[m.radtke]

Moin,

ich war gestern nicht da, daher habe ich nicht danach geschaut.
Du kannst den sha256 Wert des Grub selbst ansehen und schauen ob er in der Liste ist.

Ich denke nicht das es an der Grub Binary liegt, da diese ja nichtmal gezogen wird sondern ja schon beim Download von shimx64.efi.signed fehlschlägt.

Du kannst im User mode mal versuchen ein Ubuntu von Stick zu installieren und schauen ob das klappt.

Ansonsten wie du schon angeboten hast uns das Gerät zusenden.

Gruß
Mathias

[ittk]

Moin,

danke für die antwort, alles Gut, Auszeit muss auch mal sein, steht bei mir auch die Tage an und ist auch bitter notwendig

Also müsste ich von einer dieser Dateien den SHA256 Hash berechnen?

Mir ist noch nicht klar, welche davon:

Code: Alles auswählen

/tftpboot/linux/pxelinux.cfg/install-grub-x64 oder install-x64 oder shimx64.efi.signed bzw. grubx64.efi?

Moin,

ich war gestern nicht da, daher habe ich nicht danach geschaut.
Du kannst den sha256 Wert des Grub selbst ansehen und schauen ob er in der Liste ist.

Ich denke nicht das es an der Grub Binary liegt, da diese ja nichtmal gezogen wird sondern ja schon beim Download von shimx64.efi.signed fehlschlägt.

Du kannst im User mode mal versuchen ein Ubuntu von Stick zu installieren und schauen ob das klappt.

Ansonsten wie du schon angeboten hast uns das Gerät zusenden.

Gruß
Mathias

[m.radtke]

Hi

shimx64.efi.signed und grubx64.efi

Gruß
Mathias