Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Mensaje MOK al actualizar kernel en Tumbleweed
  #1  
Antiguo 14-may-2018, 22:08
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Unhappy Mensaje MOK al actualizar kernel en Tumbleweed

14/5/2018

Hola a todos/as:

Tengo un PC con una placa ASUS con UEFI activado, y desde al menos las dos últimas actualizaciones del kernel en Tumbleweed, al arrancar me manda a un menú de arranque de MOK (https://drivers.suse.com/doc/Usage/S...ot-certificate) que , aunque molesto, parece que es útil para incrementar la seguridad en el arranque (https://firmware.intel.com/blog/usin...oot-suse-linux y http://www.rodsbooks.com/efi-bootloa...ecureboot.html).

Con el kernel 4.16.6-1-default me apareció el mensaje unos cuantos arranques y desapareció tiempo después (siempre le daba a Continue Boot). Acabo de actualizar al kernel 4.16.7-1-default y me vuelve a aparecer el menú de MOK.

El caso es que meterme con la BIOS me da mucho miedo, pero el que aparezca el menú MOK durante un tiempo tras cada actualización es molesto y me gustaría saber si alguien sabe qué hacer al respecto.

Muchas gracias por cualquier ayuda que podáis proporcionar.

15/5/2018

Hoy, al encender el PC con el kernel 4.16.7-1-default no me apareció la opción de entrar en el menú de MOK. Cuando inicié sesión en el PC, había 89 actualizaciones, entre las que estaba el kernel 4.16.8-1-default. Las instalé, y al reiniciar me volvió a dar la opción de entrar en el menú de gestión de MOK.

Última edición por Xnake; 15-may-2018 a las 20:08 Razón: Actualizar información
Responder Citando
  #2  
Antiguo 16-may-2018, 01:28
Avatar de mikrios
mikrios mikrios está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 02-marzo-2013
Ubicación: Lat. 27.994547-Lon -15.405127-160m nivel del mar
Versión: 13.1-2,TW,Leap
Mensajes: 4.827
Agradecimientos: 2.033
Agradecido 1.523 Veces en 1.280 Mensajes
Poder de Credibilidad: 10
mikrios llegará a ser famoso muy pronto
Hola: este tema sebe corresponder a hardware, Asus permite firmar hasta 3 veces,después tienes que actualizar e firmware, y te pondrá el contador a o.

Consulta en la wiki el temqa de las firmas ; "https://es.opensuse.org/openSUSE:UEFI" y "https://es.opensuse.org/SDB:Instalar_openSUSE_con_UEFI_y_Arranque_seguro" .

PUdo haber un pequeño error y una de ella pudo fallar, puedes eliminarlas y volver a firmarlas, e contador viene a 3 intentos, una vez acabado, actualizas el firmware (bios ) y se pone a 0,vuelves de nuevo a tener los 3intentos, mira a corresponde la mok y no te preocupes pudo ser eventual en la utilidad que firma uefi, en el arranque seguro, en mi caso nunca me ha fallado y he firmado en el mismo pc hasta 3 S.O.sin problemas.

Saludos cordiales.

PS. el actualizar con el mismo firmw,en bios o actualizar bios aunque sea la misma versión, es válido para poner el contador a 0.

Saludos cordiales.
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a mikrios Por Este Mensaje:
Xnake (16-may-2018)
  #3  
Antiguo 16-may-2018, 19:39
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Thumbs up

Muchísimas gracias por la información. Leeré los enlaces que pones con muuucha atención porque cada vez me sobrepasa más la tecnología, y no me gustaría cagarla.

Comentaré lo que haga y los resultados.

Muchas gracias, una vez más, y saludos.
Responder Citando
  #4  
Antiguo 21-may-2018, 23:07
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
He leído los enlaces que me pasó mikrios con atención y sigo sin enterarme de nada (supera mis capacidades).

Estos días salió una actualización de shim y otra del firmware de Intel en Tumbleweed (que apliqué), y hoy actualicé el kernel al 4.16.9-1-default. Al reiniciar me apareció la opción de acceder al menú MOK. Fui a Enrroll MOK, seleccione View key y todos los datos que aparecían hacían referencia a openSUSE Gbmh sita en Nuremberger (creo recordar). Los datos parecían correctos, así que seleccioné Import key, y me pide una contraseña, que supongo que es la de la clave de openSUSE que usaron para firmar el kernel, y que desconozco.

He estado buscando algo por las listas de correo de bugs y he encontrado ésto: https://bugzilla.opensuse.org/show_bug.cgi?id=1094015

Supongo que mientras no solucionan ese bug pasaré por el pequeño inconveniente de pasar de largo del menú de MOK cada vez que actualice el kernel.

Cuando salga una actualización del kernel, a ver si me acuerdo de sacar fotos de todos los pasos e información que sale en el menú de MOK para compartirla aquí.

Última edición por Xnake; 21-may-2018 a las 23:19 Razón: Añadir información
Responder Citando
  #5  
Antiguo 23-may-2018, 02:33
Avatar de Cuoco
Cuoco Cuoco está desconectado
Habitual
 
Fecha de Ingreso: 11-septiembre-2017
Ubicación: Mendoza, Argentina
Versión: Tumbleweed
Mensajes: 108
Agradecimientos: 10
Agradecido 88 Veces en 64 Mensajes
Poder de Credibilidad: 2
Cuoco está en el buen camino
Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a Cuoco Por Este Mensaje:
Xnake (24-may-2018)
  #6  
Antiguo 24-may-2018, 21:16
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Cita:
Iniciado por Cuoco Ver Mensaje
Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.
Se me pasó (u olvidé) esa referencia a la contraseña de root al leer los enlaces, pero justo acabo de actualizar (kernel incluído) y al importar la clave me pidió la contraseña. Le puse la de root, y me apareció el menú inicial del MOK, con la opción Reboot. Reinicié, y al volver a arrancar y entrar en el hilo vi tu mensaje.

Aparentemente, está todo bien. A ver cómo se comporta con la siguiente actualización del kernel. Muchísimas gracias.

PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos. ¡Por algo no quiero a M$ cerca de mis máquinas!
Responder Citando
  #7  
Antiguo 25-may-2018, 00:27
Avatar de Krovikan
Krovikan Krovikan está desconectado
Miembro Junior
 
Fecha de Ingreso: 16-noviembre-2010
Ubicación: Delante del ordenador
Versión: Leap 15
Mensajes: 735
Agradecimientos: 309
Agradecido 174 Veces en 150 Mensajes
Poder de Credibilidad: 9
Krovikan está en el buen camino
Buenas:


He ido siguiendo el hilo debido a que tengo una placa ASUS B150 Pro Gaming.


En mi ordenador sólo existe Linux. No hay particiones ni discos con Win o alguno de sus sistemas de ficheros.


Con la salida de Leap 15 quería cambiar las opciones de BIOS a UEFI y hacer una instalación UEFI (mi equipo es de finales del 2016).


Me ha preocupado leer eso que se ha ido diciendo de MOK y que si claves y demás, y por último Spectre/Meltdown.
De lo primero (MOK) no tengo ni idea de qué es y si me puede afectar el poner la BIOS en UEFI (uso los últimos kernels también, actualmente 4.16.11-1.1).
De lo segundo agradecería más info por si he de hacer algo con la BIOS o no (el SO está OK con los cambios en kernel pero no sé si debería upgradear en caso de poderse la BIOS por el mencionado Spectre/Meltdown).




Saludos
Responder Citando
  #8  
Antiguo 25-may-2018, 01:20
Avatar de Cuoco
Cuoco Cuoco está desconectado
Habitual
 
Fecha de Ingreso: 11-septiembre-2017
Ubicación: Mendoza, Argentina
Versión: Tumbleweed
Mensajes: 108
Agradecimientos: 10
Agradecido 88 Veces en 64 Mensajes
Poder de Credibilidad: 2
Cuoco está en el buen camino
Hola estimado Xnake, acabo de actualizar y darle enroll key desde el menu MOK que aparece en el inicio, luego de pedirme la contraseña me da 3 opciones: reiniciar, enroll key from disk y enroll hash from disk, para evitar la fatiga...elegí la primera opción jejeje, en la próxima actualización del kernel nos daremos cuenta si la opción mas fácil es la correcta.
Cuando comentas:
"PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos."

Que placa tienes? es bastante dudoso que en la tienda te actualizaran el firmware de tu placa si el fabricante no largó actualización para dichas vulnerabilidades, me suena mas probable a que tu placa no tenia la última versión del firmware y ellos simplemente te colocaron la mas actual, no creo que ellos modificaran el bios original insertandolé las más nuevas versiones del microcódigo, los únicos métodos que he visto por internet para actualizar es solo para windows, debido a que no actualiza el microcodigo en el arranque si no es por un bug grave como meltdown y spectre, pero tales métodos no actualizan el que se encuentra en el firmware, técnicamente hacen lo mismo que hace linux desde hace años, puedes chequear que se encuentran instalados los paquetes ucode-amd 20180507-1.1 para procesadores AMD y ucode-intel 20180425-2.1 en tu TW.
No tiene nada que ver que le conectaran un disco con win a tu pc con la aparición del cartel de MOK, mi placa no tiene actualizaciones de bios desde 2016 y el cartel aparece igual.

Estimado Krovikan los enlaces que publicaron mas arriba contienen bastante info, no le veo inconvenientes para no tener UEFI y secure boot activado solo para linux.
Con respecto a la bios, descarga e instala la mas actual que ofrezca el fabricante de tu placa, el kernel se encargará del resto.
Saludos.
Responder Citando
Los Siguientes 2 Usuarios Han Dado las Gracias a Cuoco Por Este Mensaje:
Krovikan (25-may-2018), Xnake (25-may-2018)
  #9  
Antiguo 25-may-2018, 02:57
Avatar de Krovikan
Krovikan Krovikan está desconectado
Miembro Junior
 
Fecha de Ingreso: 16-noviembre-2010
Ubicación: Delante del ordenador
Versión: Leap 15
Mensajes: 735
Agradecimientos: 309
Agradecido 174 Veces en 150 Mensajes
Poder de Credibilidad: 9
Krovikan está en el buen camino
Vale, más o menos me ha quedado claro. MOK es una capa de seguridad por encima de la BIOS para evitar los antiguos virus de arranque (1 recuerdo haber sufrido en MS-DOS me parece).


Así que lo mejor es decirle a la BIOS que otro SO y que se desactive el Secure Boot que a mi al menos me parece muy muy prescindible.


Me he bajado una actualización de BIOS (hay muchas posteriores a Septiembre del 2016) y ya está mi consulta (ya puedo despreocuparme cuando lea MOK).




Saludos y gracias
Responder Citando
  #10  
Antiguo 25-may-2018, 22:21
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Cita:
Iniciado por Cuoco Ver Mensaje
Que placa tienes? es bastante dudoso que en la tienda te actualizaran el firmware de tu placa si el fabricante no largó actualización para dichas vulnerabilidades, me suena mas probable a que tu placa no tenia la última versión del firmware y ellos simplemente te colocaron la mas actual, no creo que ellos modificaran el bios original insertandolé las más nuevas versiones del microcódigo
Es una ASUSTek COMPUTER INC. H110M-D y no me deja entrar en la web de ASUS ahora (uso Tor), pero sacaron en su momento un parche específico para Spectre / Meltdown que se aplicaba sólo desde Windows, y que fue lo que me instalaron en la tienda (si tocaba BIOS, el microcódigo de la CPU u otra cosa no lo sé). Posteriormente, además, sacaron una actualización de la BIOS (que no he aplicado). Tengo claro que no compraré nada de ASUS en el futuro por su falta de soporte a GNU/Linux.

Hoy, al encender el ordenador (sin haber actualizado el kernel y hecho el Enroll Key ayer) me volvió a aparecer el menú de MOK. Seleccioné la opción Delete Key porque supuse que me iba a aparecer el menú de MOK en cada arranque, y prefiero que lo haga sólo cuando actualice el kernel.

Por lo que pone en https://bugzilla.opensuse.org/show_bug.cgi?id=1094015 parece ser una diferencia entre la clave de shim y la de openSUSE. Dicen que es inofensivo, pero me resulta molesto.
Responder Citando
Respuesta

Marcadores

Etiquetas
boot, mok, tumbleweed, uefi


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
OpenSUSE Tumbleweed no arranca Diegoto General OpenSUSE 18 23-abr-2015 16:28
Actualizar Kernel en Tumbleweed Takpe Software 4 30-ene-2012 10:15
problemas con el sonido de laptop hp Pocres Hardware 29 31-ene-2008 00:01
openSUSE 10.2 se me congela ayuda por favor Helios General OpenSUSE 12 06-ago-2007 07:42
Problemas Wifi USB de Telefonica blaster Internet, Redes y Wireless 10 18-nov-2006 01:02



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 20:35.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba