Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Mensaje MOK al actualizar kernel en Tumbleweed
  #1  
Antiguo 14-may-2018, 22:08
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Unhappy Mensaje MOK al actualizar kernel en Tumbleweed

14/5/2018

Hola a todos/as:

Tengo un PC con una placa ASUS con UEFI activado, y desde al menos las dos últimas actualizaciones del kernel en Tumbleweed, al arrancar me manda a un menú de arranque de MOK (https://drivers.suse.com/doc/Usage/S...ot-certificate) que , aunque molesto, parece que es útil para incrementar la seguridad en el arranque (https://firmware.intel.com/blog/usin...oot-suse-linux y http://www.rodsbooks.com/efi-bootloa...ecureboot.html).

Con el kernel 4.16.6-1-default me apareció el mensaje unos cuantos arranques y desapareció tiempo después (siempre le daba a Continue Boot). Acabo de actualizar al kernel 4.16.7-1-default y me vuelve a aparecer el menú de MOK.

El caso es que meterme con la BIOS me da mucho miedo, pero el que aparezca el menú MOK durante un tiempo tras cada actualización es molesto y me gustaría saber si alguien sabe qué hacer al respecto.

Muchas gracias por cualquier ayuda que podáis proporcionar.

15/5/2018

Hoy, al encender el PC con el kernel 4.16.7-1-default no me apareció la opción de entrar en el menú de MOK. Cuando inicié sesión en el PC, había 89 actualizaciones, entre las que estaba el kernel 4.16.8-1-default. Las instalé, y al reiniciar me volvió a dar la opción de entrar en el menú de gestión de MOK.

Última edición por Xnake; 15-may-2018 a las 20:08 Razón: Actualizar información
Responder Citando
  #2  
Antiguo 16-may-2018, 01:28
Avatar de mikrios
mikrios mikrios está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 02-marzo-2013
Ubicación: Lat. 27.994547-Lon -15.405127-160m nivel del mar
Versión: 13.1-2,TW,Leap
Mensajes: 4.842
Agradecimientos: 2.038
Agradecido 1.534 Veces en 1.290 Mensajes
Poder de Credibilidad: 10
mikrios llegará a ser famoso muy pronto
Hola: este tema sebe corresponder a hardware, Asus permite firmar hasta 3 veces,después tienes que actualizar e firmware, y te pondrá el contador a o.

Consulta en la wiki el temqa de las firmas ; "https://es.opensuse.org/openSUSE:UEFI" y "https://es.opensuse.org/SDB:Instalar_openSUSE_con_UEFI_y_Arranque_seguro" .

PUdo haber un pequeño error y una de ella pudo fallar, puedes eliminarlas y volver a firmarlas, e contador viene a 3 intentos, una vez acabado, actualizas el firmware (bios ) y se pone a 0,vuelves de nuevo a tener los 3intentos, mira a corresponde la mok y no te preocupes pudo ser eventual en la utilidad que firma uefi, en el arranque seguro, en mi caso nunca me ha fallado y he firmado en el mismo pc hasta 3 S.O.sin problemas.

Saludos cordiales.

PS. el actualizar con el mismo firmw,en bios o actualizar bios aunque sea la misma versión, es válido para poner el contador a 0.

Saludos cordiales.
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a mikrios Por Este Mensaje:
Xnake (16-may-2018)
  #3  
Antiguo 16-may-2018, 19:39
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Thumbs up

Muchísimas gracias por la información. Leeré los enlaces que pones con muuucha atención porque cada vez me sobrepasa más la tecnología, y no me gustaría cagarla.

Comentaré lo que haga y los resultados.

Muchas gracias, una vez más, y saludos.
Responder Citando
  #4  
Antiguo 21-may-2018, 23:07
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
He leído los enlaces que me pasó mikrios con atención y sigo sin enterarme de nada (supera mis capacidades).

Estos días salió una actualización de shim y otra del firmware de Intel en Tumbleweed (que apliqué), y hoy actualicé el kernel al 4.16.9-1-default. Al reiniciar me apareció la opción de acceder al menú MOK. Fui a Enrroll MOK, seleccione View key y todos los datos que aparecían hacían referencia a openSUSE Gbmh sita en Nuremberger (creo recordar). Los datos parecían correctos, así que seleccioné Import key, y me pide una contraseña, que supongo que es la de la clave de openSUSE que usaron para firmar el kernel, y que desconozco.

He estado buscando algo por las listas de correo de bugs y he encontrado ésto: https://bugzilla.opensuse.org/show_bug.cgi?id=1094015

Supongo que mientras no solucionan ese bug pasaré por el pequeño inconveniente de pasar de largo del menú de MOK cada vez que actualice el kernel.

Cuando salga una actualización del kernel, a ver si me acuerdo de sacar fotos de todos los pasos e información que sale en el menú de MOK para compartirla aquí.

Última edición por Xnake; 21-may-2018 a las 23:19 Razón: Añadir información
Responder Citando
  #5  
Antiguo 23-may-2018, 02:33
Avatar de Cuoco
Cuoco Cuoco está desconectado
Habitual
 
Fecha de Ingreso: 11-septiembre-2017
Ubicación: Mendoza, Argentina
Versión: Tumbleweed
Mensajes: 114
Agradecimientos: 10
Agradecido 94 Veces en 68 Mensajes
Poder de Credibilidad: 2
Cuoco está en el buen camino
Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a Cuoco Por Este Mensaje:
Xnake (24-may-2018)
  #6  
Antiguo 24-may-2018, 21:16
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Cita:
Iniciado por Cuoco Ver Mensaje
Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.
Se me pasó (u olvidé) esa referencia a la contraseña de root al leer los enlaces, pero justo acabo de actualizar (kernel incluído) y al importar la clave me pidió la contraseña. Le puse la de root, y me apareció el menú inicial del MOK, con la opción Reboot. Reinicié, y al volver a arrancar y entrar en el hilo vi tu mensaje.

Aparentemente, está todo bien. A ver cómo se comporta con la siguiente actualización del kernel. Muchísimas gracias.

PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos. ¡Por algo no quiero a M$ cerca de mis máquinas!
Responder Citando
  #7  
Antiguo 25-may-2018, 00:27
Avatar de Krovikan
Krovikan Krovikan está desconectado
Miembro Junior
 
Fecha de Ingreso: 16-noviembre-2010
Ubicación: Delante del ordenador
Versión: Leap 15
Mensajes: 749
Agradecimientos: 309
Agradecido 183 Veces en 157 Mensajes
Poder de Credibilidad: 9
Krovikan está en el buen camino
Buenas:


He ido siguiendo el hilo debido a que tengo una placa ASUS B150 Pro Gaming.


En mi ordenador sólo existe Linux. No hay particiones ni discos con Win o alguno de sus sistemas de ficheros.


Con la salida de Leap 15 quería cambiar las opciones de BIOS a UEFI y hacer una instalación UEFI (mi equipo es de finales del 2016).


Me ha preocupado leer eso que se ha ido diciendo de MOK y que si claves y demás, y por último Spectre/Meltdown.
De lo primero (MOK) no tengo ni idea de qué es y si me puede afectar el poner la BIOS en UEFI (uso los últimos kernels también, actualmente 4.16.11-1.1).
De lo segundo agradecería más info por si he de hacer algo con la BIOS o no (el SO está OK con los cambios en kernel pero no sé si debería upgradear en caso de poderse la BIOS por el mencionado Spectre/Meltdown).




Saludos
Responder Citando
  #8  
Antiguo 25-may-2018, 01:20
Avatar de Cuoco
Cuoco Cuoco está desconectado
Habitual
 
Fecha de Ingreso: 11-septiembre-2017
Ubicación: Mendoza, Argentina
Versión: Tumbleweed
Mensajes: 114
Agradecimientos: 10
Agradecido 94 Veces en 68 Mensajes
Poder de Credibilidad: 2
Cuoco está en el buen camino
Hola estimado Xnake, acabo de actualizar y darle enroll key desde el menu MOK que aparece en el inicio, luego de pedirme la contraseña me da 3 opciones: reiniciar, enroll key from disk y enroll hash from disk, para evitar la fatiga...elegí la primera opción jejeje, en la próxima actualización del kernel nos daremos cuenta si la opción mas fácil es la correcta.
Cuando comentas:
"PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos."

Que placa tienes? es bastante dudoso que en la tienda te actualizaran el firmware de tu placa si el fabricante no largó actualización para dichas vulnerabilidades, me suena mas probable a que tu placa no tenia la última versión del firmware y ellos simplemente te colocaron la mas actual, no creo que ellos modificaran el bios original insertandolé las más nuevas versiones del microcódigo, los únicos métodos que he visto por internet para actualizar es solo para windows, debido a que no actualiza el microcodigo en el arranque si no es por un bug grave como meltdown y spectre, pero tales métodos no actualizan el que se encuentra en el firmware, técnicamente hacen lo mismo que hace linux desde hace años, puedes chequear que se encuentran instalados los paquetes ucode-amd 20180507-1.1 para procesadores AMD y ucode-intel 20180425-2.1 en tu TW.
No tiene nada que ver que le conectaran un disco con win a tu pc con la aparición del cartel de MOK, mi placa no tiene actualizaciones de bios desde 2016 y el cartel aparece igual.

Estimado Krovikan los enlaces que publicaron mas arriba contienen bastante info, no le veo inconvenientes para no tener UEFI y secure boot activado solo para linux.
Con respecto a la bios, descarga e instala la mas actual que ofrezca el fabricante de tu placa, el kernel se encargará del resto.
Saludos.
Responder Citando
Los Siguientes 2 Usuarios Han Dado las Gracias a Cuoco Por Este Mensaje:
Krovikan (25-may-2018), Xnake (25-may-2018)
  #9  
Antiguo 26-may-2018, 05:15
Avatar de mikrios
mikrios mikrios está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 02-marzo-2013
Ubicación: Lat. 27.994547-Lon -15.405127-160m nivel del mar
Versión: 13.1-2,TW,Leap
Mensajes: 4.842
Agradecimientos: 2.038
Agradecido 1.534 Veces en 1.290 Mensajes
Poder de Credibilidad: 10
mikrios llegará a ser famoso muy pronto
Hola:

Me extraña eso de Asus, la key o los certificados, se escriben como firmware en la bios, no tiene importancia, ya que linux arrancando en uefi, te hace la instalación así.

Creo que de las tres claves deb,mok y debx (corrija me si me equivoco, ya hace tiempo que he dado eso puede que me equivoque, las mok son las de propietrario de a maquina de usuario , y pueden que estén en este sitio, o una vez descargado, sea ese su lugar : / etc / uefi / certs, los cuales usara ,para inscribir los mok (ojo los mas importantes son los dbm también lo que deben valer sobre los 99$, pero es interesante incluirlo, el mok , para correr tu sistema (algunos de estos paquetes,pueden estar disponibles para descargar) yen cuanto a asus,no deberías tener problemas, casintodo, incluido linux si hay (mi cd trae info de el, también android,etc, ademas aconsejan usar el último kernel ( vamos cuanyomejor sea asus mas placas venden, y todo los que tengo en mi casa son asus, ademas de ser miembro, de asus)




Cuando se agoten los tres intentos el firmware de la bios debe dejar las kys correctas, hay que tener en cuenta, que no pueda deberse a asus, si no alguna aplicación que este en /boot y provoque el error (como tu habías comentado, pero si es el mok, no tiene mucha importancia, ademas puedes instalar en uefi, sin necesidad de las keys

"https://www.asus.com/es/Motherboards/H110M-D/HelpDesk_BIOS/"

"dlcdnet.asus.com/pub/ASUS/mb/LGA1151/H110M-D/H110M-D-ASUS-3612.zip?_ga=2.39034979.1943811256.1527254587-1790066708.1526788591"

Incluso si tienes dudas, te pueden atender,desde chat.

Las placas que tengo, pasan por mi laboratorio, y se analizan, y después se pasa por por una tropicalización, donde el polvo y humedad, no les afecta, ademas se pasa por cámara termográfica y si necesita un disipador extra, se diseña o se busca alguno .( y se hacen muchas mas pruebas emf, esporádicos, etc, incluso se diseñan circuitos extras,para suprimir trasistorios,etc, en algunas fuentes aunque sean de marca, no hay nada que rascar (por abaratar no ponen componentes que deberían) como las fuentes alemanas de rodhe. (asus y algunas otras marcas, tienen para mi muy buena garantía, unas mas que otras, pero problemas puede haber las en cualquiera..

Te dejo los enlaces de la pagina y el de descarga, en caso problemas te pudo poner mi enlace de asus con la bios para que lo descargues.

Saludos cordiales.
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a mikrios Por Este Mensaje:
Xnake (26-may-2018)
  #10  
Antiguo 26-may-2018, 23:51
Xnake Xnake está desconectado
Aforado
 
Fecha de Ingreso: 13-septiembre-2014
Versión: Tumbleweed x86_64
Mensajes: 42
Agradecimientos: 32
Agradecido 5 Veces en 5 Mensajes
Poder de Credibilidad: 0
Xnake está en el buen camino
Cita:
Iniciado por mikrios Ver Mensaje
Cuando se agoten los tres intentos el firmware de la bios debe dejar las kys correctas
mikrios, ¿te refieres a que si hago Enroll key y pongo la contraseña de root durante tres arranques en frío deja de salir el menú de MOK, o es otra cosa?

Muchas gracias y saludos
Responder Citando
Respuesta

Marcadores

Etiquetas
boot, mok, tumbleweed, uefi


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
OpenSUSE Tumbleweed no arranca Diegoto General OpenSUSE 18 23-abr-2015 16:28
Actualizar Kernel en Tumbleweed Takpe Software 4 30-ene-2012 10:15
problemas con el sonido de laptop hp Pocres Hardware 29 31-ene-2008 00:01
openSUSE 10.2 se me congela ayuda por favor Helios General OpenSUSE 12 06-ago-2007 07:42
Problemas Wifi USB de Telefonica blaster Internet, Redes y Wireless 10 18-nov-2006 01:02



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 04:01.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba