Pas de secure boot sur les machines avec un BIOS-UEFI non mis à jour. Le sujet est résolu

[Alpha504]

Bonjour à tous,

J'ai récemment mis à jour le BIOS-UEFI d'un PC, résultat, plus de boot Linux et une erreur SBAT.

J'ai donc désactivé le secure boot et lancé un upgrade système qui à mis à jour grub. Suite à ça, j'ai pu réactiver le secure boot et booter Linux sans problèmes.

Mais pour les machines qui n'ont pas de mise à jour récentes du BIOS-UEFI, je suis maintenant contraint de désactiver le secure boot pour booter les versions récentes de Debian 12.

Si quelqu'un connais une solution pour booter avec le secure boot les versions récentes de Debian 12 sur des machines avec un BIOS-UEFI non mis à jour ?

Peut-être qu'il y aurait un moyen de copier les clés MOK du PC qui a un BIOS à jour et de les installer dans les PC qui n'ont pas leur BIOS à jour (pas de version récente publiées par les constructeurs).

[piratebab]

Bonjour,
certains UEFI ne sont conformes aux standard, c'est souvent ça qui coince une install de linux. Est ce que la mise à jour UEFI dont tu parles ne seraient pas dans ce cas là ? Et la mise à jour de l'UEFI corrigerait le pb ?

[Alpha504]

Je ne sais pas.

J'ai l'impression que Microsoft a changé ses clés/certificats, et que les nouvelles versions de Debian 12 ont une signature à jour.

Les PC ayant une installation de Windows à jour ont peut-être mis à jour automatiquement les clés/certificats Microsoft dans l'UEFI.

Mes PCs sur lesquels le secure boot ne fonctionne pas sont soit déconnectés d'internet depuis longtemps, soit n'ont pas d'installation Windows, je fait tourner dessus des systèmes Linux Live que j'ai créé manuellement, et que je met à jour de temps en temps.

Faudrait que je fasse le test du secure boot avec un LiveCD de Debian de 2023 ou plus vieux, pour vérifier.

Après avoir testé sans succès d'importer une clé MOK avec mokutil, qui me dit que la clé Debian est déjà présente dans mes systèmes, je cherche du coté des clés/certificats "pk", "kek", "db" et "dbx".

[Alpha504]

J'ai fait un installation sur le ssd du pc qui refuse mes systèmes Live, à partir du LiveCD 12.7, j'ai mis à jour et le secure boot accepte de démarrer le système, mais il y a une erreur:

Code : Tout sélectionner

integrity x.509 certificate: -65

Quelqu'un sait si c'est une erreur grave ?


Concernant mes systèmes Live personnalisés, ils semblent corrompus, car le boot leur est refusé sauf sur un seul PC.

Je pense que je vais devoir refaire mes Live CDs depuis un autre ordinateur à partir d'une nouvelle installation.

Concernant l'ordinateur qui accepte mes systèmes Live, je n'ai plus vraiment confiance en lui, je me pose la question d'un piratage ou d'un virus de boot.

[Alpha504]

Finalement, j'ai copié l'installation grub du liveCD Debian 12.7 sur mes clés USB Live, et ça boot correctement sur mes 2 PC testés avec secure boot activé.

Auparavant, j'avais fait une installation de grub de type disque dur sur mes clés Live, mais peut-être que certains UEFI n'acceptent pas ça.

Sur un PC, il y a juste l'erreur de certificat X.509 que j'ai déjà vu sur certains ordinateurs avec des versions précédentes de Debian.

[zargos]

Le fameux SBAT a été mis en place par Microsoft avec une mise à jour publiée en aout.
De ce fait la plupart des boot Linux n'ont plus fonctionné correctement.
Je ne sais pas si Microsoft est sorti de son silence depuis. Mais la seule solution était la désactivation du SBAT ou du secure boot.
Si l'EFI linux (shim bootloaders) a été patché coté Linux il ne devrait plus y avoir de problème, mais je ne sais pas si c'est le cas.

[Alpha504]

Merci pour l'info, ça expliquerait pourquoi je ne pouvais plus booter mon installation sur le PC dont le BIOS a été mis à jour. Le dernier BIOS date du mois de septembre. J'avais peut-être aussi fait une installation windows 11 sur cette machine pour faire des tests.

[Papy_Octet]

Bonjour.
Je viens d'acquérir un ordi portable confectionné par mon revendeur en fonction de mes besoins. Ce n'est pas le premier ordi de la sorte que je lui achète et n'ai jamais eu de problème. À chaque fois, je demande un ordi sans OS. Il est équipé d'un disque SSH. Je ne veux que Debian dessus.
Mais cette fois, j'ai cette erreur SBAT failed.
J'ai lu plusieurs tutos, dont celui-ci qui donne une explication pour résoudre le problème.
Il y est fait allusion à des systèmes en dual boot. Ce qui n'est pas le cas chez moi.
Mon ordi est UEFI.
Les explications données plus haut s'appliquent-elle à ma machine sans windows ?
Merci.

[zargos]

Bonjour,
Tout le problème c'est comment ton revendeur à réalisé l'opération.
Est-ce que tu as pu vérifier qu'il n'y a aucune partition sur ton disque dur, y compris pas de partition EFI? Car il est possible que ce soitg à l'origine un disque avec Windows installé dessus et qu'il a supprimé les partitions.
Je ne suis pas certain qu'une mise à jour du BIOS ne provoque pas aussi le problème.

Ce qui implique pour toi de desactiver le secure boot pour installer ton linux. Et ensuite avec SHIM patché, tu pourras réactiver le secure boot.

[Papy_Octet]

Bonjour zargos.
Quand j'ai voulu installer Debian 12 en Net install, je suis arrivé au moment de définir les partitions. Il n'y en avait qu'une qui prenait tout le disque. J'ai commencé le partitionnement comme je l'ai toujours fait : une partition système, une partition home et une swap. Et c'est là que tout s'arrête et tourne en rond avec une erreur et l'impossibilité de partitionner.
Je tente une seule partition sur tout le disque : même sanction.
J'ai aussi remarqué que l'option de formatage de la partition est absent à chaque fois.
Merci pour ton intervention.

[zargos]

Il faut bien effacer les partition et valider l'effacement avant de faire quoique ce soit.

si tu étais sur une machine UEFI, alors il te faut une partition uefi sinon ça n'ira pas.

[Papy_Octet]

Bonjoiur zargos.
Je reviens enfin à mon problème. J'étais empêtré dans la création d'une association de loisir ;-) C'est réglé, maintenant.

À propos de mon problème d'installation Debian 12 sur mon portable, j'ai constaté que la clé usb sur laquelle j'avais placé le netinstall pose problème. Je me suis rabattu sur un bon vieux lecteur CD/DVD externe (mon ordi n'en a pas !) et lancé le netinstall depuis le cd.
J'ai désactivé le secure boot pour la nouvelle installation via le bios de ma machine.
J'ai effacé toutes les partitions existantes pour récupérer toute le surface disque.
J'ai créé une nouvelle table de partitions avec une partition UEFI, une swap, une / et une home.

Ma nouvelle configuration fonctionne à nouveau.

Et cela fonctionne encore sans réactiver le secure boot.
Est-ce indispensable de le réactiver étant donné que je n'ai plus windows sur mes machines ?

A+

[zargos]

Le secure boot permet de protéger ton noyau de démarrage. IL s'assure qu'il n'a pas été modifié. Donc oui cela a une utilité.
Pour pouvoir etre en secure boot il faut le SHIM dans le grub pour que ça marche.

Tu peux éventuellement trouver ton bonheur ici https://linuxfr.org/users/trim/journaux ... ecure-boot