Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-07-01 11:00:38

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Verifying shim SBAT data failed

Witam.
Zachciało mi się dzisiaj aktualizacji tylko niektórych pakietów do sida (trixie na usb).
Mam włączony Secure Boot.
Po próbie uruchomienia Bookworma z dysku twardego ujrzałem komunikat:

Verifying shim SBAT data failed ... itd.

Po kilku sekundach PC się wyłącza.
Jedyne co można zrobić to wejść do Biosu (UEFI).

Trochę mnie to zmroziło.

Ale po wyłączeniu Secure Boot w Bios (UEFI) system się uruchomił.

Z tego co wymyśliłem to winny jest upgrade pakietów shim.
Mam teraz na tym Trixie zainstalowane (podejrzałem z Bookworm jego: /var/log/apt/history.log):

shim-signed:amd64 (1.40+15.7-1, 1.41+15.8-1), shim-signed-common:amd64 (1.40+15.7-1, 1.41+15.8-1), shim-unsigned:amd64 (15.7-1, 15.8-1)

W sid pojawiają się nowsze wersje (1.42, 1.43):
https://tracker.debian.org/pkg/shim-signed

W sieci znalazłem:

https://github.com/ventoy/Ventoy/issues/2692
https://en.opensuse.org/openSUSE:UEFI#Reset_SBAT_st … ld_Leap_image

Rozwiązania

Kod:

# mokutil --set-sbat-policy delete

jeszcze nie próbowałem.

Pytanie.
To ja jestem taki pechowy, czy komuś też się to przydarzyło?

Pozdrawiam.

Ostatnio edytowany przez zl23 (2024-07-01 11:10:52)

Offline

 

#2  2024-07-01 16:51:39

  zl23 - Użytkownik

zl23
Użytkownik
Zarejestrowany: 2016-09-02

Re: Verifying shim SBAT data failed

Wiem co popsułem.

Ponieważ ręcznie (w synapticu, po wybraniu sida) zaznaczałem pakiety  do aktualizacji, to jeden pominąłem – shim-helpers-amd64-signed.

Po moim nieudanym upgrade miałem:

Kod:

dpkg -l | grep shim
ii  shim-helpers-amd64-signed             1+15.7+1
ii  shim-signed:amd64                     1.41+15.8-1  
ii  shim-signed-common                    1.41+15.8-1
ii  shim-unsigned:amd64                   15.8-1

To powodowało ww. błąd 'Verifying shim SBAT data failed ... itd' i niemożność uruchomienia PC z włączonym SecureBoot.

Po wyłączeniu Secure Boot i uruchomieniu tym razem wersji Bookworm z dysku twardego, próba z poleceniem

Kod:

# mokutil --set-sbat-policy delete

spełzła na niczym.
Po wlączeniu Secure Boot pojawiła się informacja, że 'nie można wyczyścić' czy coś w tym stylu i dalej to samo: 'Verifying shim SBAT data failed ... itd'.

Wyłączyłem znów Secure Boot, uruchomiłem Trixie z USB (z tymi sidowymi paczkami) i po sprawdzeniu zainstalowanych pakietów 'shim' zaaktualizowałem tylko jeden pakiet: shim-helpers-amd64-signed.

Teraz mam:

Kod:

dpkg -l | grep shim
ii  shim-helpers-amd64-signed             1+15.8+1
ii  shim-signed:amd64                     1.41+15.8-1 
ii  shim-signed-common                    1.41+15.8-1 
ii  shim-unsigned:amd64                   15.8-1

Wyłączyłem komputer, po ponownym uruchomieniu włączyłem Secure Boot – i jak ręką odjął – działa.
Bookworm uruchomił się normalnie.

Kod:

mokutil --sb-state
SecureBoot enabled

Może komuś wnioski z tej mojej niepotrzebnej walki z cieniem się przydadzą.

Pozdrawiam

Offline

 

#3  2024-07-01 20:41:11

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Verifying shim SBAT data failed

Pamiętaj tylko, że secure boot pod linux w zasadzie nic nie daje, bo obraz initramfs/initrd nie jest w żaden sposób zabezpieczony i weryfikowany. Więc jak jakiś syf by ci się chciał wgrać do systemu, to zapewne i tak zrobi to przez initramfs/initrd (jakiś skrypt uruchamiany zanim się w ogóle system zacznie uruchamiać) i obejdzie bez większego problemu te "zabezpieczenia", które oferuje SB.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)