Mensaje MOK al actualizar kernel en Tumbleweed

**Xnake** · 14-may-2018, 21:08

14/5/2018

Hola a todos/as:

Tengo un PC con una placa ASUS con UEFI activado, y desde al menos las dos últimas actualizaciones del kernel en Tumbleweed, al arrancar me manda a un menú de arranque de MOK (https://drivers.suse.com/doc/Usage/S...ot-certificate) que , aunque molesto, parece que es útil para incrementar la seguridad en el arranque (https://firmware.intel.com/blog/usin...oot-suse-linux y http://www.rodsbooks.com/efi-bootloa...ecureboot.html).

Con el kernel 4.16.6-1-default me apareció el mensaje unos cuantos arranques y desapareció tiempo después (siempre le daba a Continue Boot). Acabo de actualizar al kernel 4.16.7-1-default y me vuelve a aparecer el menú de MOK.

El caso es que meterme con la BIOS me da mucho miedo, pero el que aparezca el menú MOK durante un tiempo tras cada actualización es molesto y me gustaría saber si alguien sabe qué hacer al respecto.

Muchas gracias por cualquier ayuda que podáis proporcionar.

15/5/2018

Hoy, al encender el PC con el kernel 4.16.7-1-default no me apareció la opción de entrar en el menú de MOK. Cuando inicié sesión en el PC, había 89 actualizaciones, entre las que estaba el kernel 4.16.8-1-default. Las instalé, y al reiniciar me volvió a dar la opción de entrar en el menú de gestión de MOK.

**mikrios** · 16-may-2018, 00:28

Hola: este tema sebe corresponder a hardware, Asus permite firmar hasta 3 veces,después tienes que actualizar e firmware, y te pondrá el contador a o.

Consulta en la wiki el temqa de las firmas ; "https://es.opensuse.org/openSUSE:UEFI" y "https://es.opensuse.org/SDB:Instalar_openSUSE_con_UEFI_y_Arranque_seguro" .

PUdo haber un pequeño error y una de ella pudo fallar, puedes eliminarlas y volver a firmarlas, e contador viene a 3 intentos, una vez acabado, actualizas el firmware (bios ) y se pone a 0,vuelves de nuevo a tener los 3intentos, mira a corresponde la mok y no te preocupes pudo ser eventual en la utilidad que firma uefi, en el arranque seguro, en mi caso nunca me ha fallado y he firmado en el mismo pc hasta 3 S.O.sin problemas.

Saludos cordiales.

PS. el actualizar con el mismo firmw,en bios o actualizar bios aunque sea la misma versión, es válido para poner el contador a 0.

Saludos cordiales.

**Xnake** · 16-may-2018, 18:39

Muchísimas gracias por la información. Leeré los enlaces que pones con muuucha atención porque cada vez me sobrepasa más la tecnología, y no me gustaría cagarla.

Comentaré lo que haga y los resultados.

Muchas gracias, una vez más, y saludos.

**Xnake** · 21-may-2018, 22:07

He leído los enlaces que me pasó mikrios con atención y sigo sin enterarme de nada (supera mis capacidades).

Estos días salió una actualización de shim y otra del firmware de Intel en Tumbleweed (que apliqué), y hoy actualicé el kernel al 4.16.9-1-default. Al reiniciar me apareció la opción de acceder al menú MOK. Fui a Enrroll MOK, seleccione View key y todos los datos que aparecían hacían referencia a openSUSE Gbmh sita en Nuremberger (creo recordar). Los datos parecían correctos, así que seleccioné Import key, y me pide una contraseña, que supongo que es la de la clave de openSUSE que usaron para firmar el kernel, y que desconozco.

He estado buscando algo por las listas de correo de bugs y he encontrado ésto: https://bugzilla.opensuse.org/show_bug.cgi?id=1094015

Supongo que mientras no solucionan ese bug pasaré por el pequeño inconveniente de pasar de largo del menú de MOK cada vez que actualice el kernel.

Cuando salga una actualización del kernel, a ver si me acuerdo de sacar fotos de todos los pasos e información que sale en el menú de MOK para compartirla aquí.

**Cuoco** · 23-may-2018, 01:33

Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.

**Xnake** · 24-may-2018, 20:16

Iniciado por Cuoco

Hola estimado, hace un tiempo me aparece el mismo cartel en mi pc (Asus M5A97 LE R2.0) como tengo arranque dual con secure boot activado no le di importancia y le doy siempre a la opción para que continúe con el booteo, en algún lugar de los enlaces que pasaste indica que hay que agregar la contraseña de root de tu instalación de opensuse, probaste poner dicha contraseña cuando pide la key? te pregunto porque actualmente no puedo probar, el disco duro de TW murió, espero tener algún instalador viejo de tw así después de instalarlo y actualizarlo aparece el cartel y hago las pruebas.
Saludos.

Se me pasó (u olvidé) esa referencia a la contraseña de root al leer los enlaces, pero justo acabo de actualizar (kernel incluído) y al importar la clave me pidió la contraseña. Le puse la de root, y me apareció el menú inicial del MOK, con la opción Reboot. Reinicié, y al volver a arrancar y entrar en el hilo vi tu mensaje.

Aparentemente, está todo bien. A ver cómo se comporta con la siguiente actualización del kernel. Muchísimas gracias.

PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos. ¡Por algo no quiero a M$ cerca de mis máquinas!

**Krovikan** · 24-may-2018, 23:27

Buenas:

He ido siguiendo el hilo debido a que tengo una placa ASUS B150 Pro Gaming.

En mi ordenador sólo existe Linux. No hay particiones ni discos con Win o alguno de sus sistemas de ficheros.

Con la salida de Leap 15 quería cambiar las opciones de BIOS a UEFI y hacer una instalación UEFI (mi equipo es de finales del 2016).

Me ha preocupado leer eso que se ha ido diciendo de MOK y que si claves y demás, y por último Spectre/Meltdown.
De lo primero (MOK) no tengo ni idea de qué es y si me puede afectar el poner la BIOS en UEFI (uso los últimos kernels también, actualmente 4.16.11-1.1).
De lo segundo agradecería más info por si he de hacer algo con la BIOS o no (el SO está OK con los cambios en kernel pero no sé si debería upgradear en caso de poderse la BIOS por el mencionado Spectre/Meltdown).

Saludos

**Cuoco** · 25-may-2018, 00:20

Hola estimado Xnake, acabo de actualizar y darle enroll key desde el menu MOK que aparece en el inicio, luego de pedirme la contraseña me da 3 opciones: reiniciar, enroll key from disk y enroll hash from disk, para evitar la fatiga...elegí la primera opción jejeje, en la próxima actualización del kernel nos daremos cuenta si la opción mas fácil es la correcta.
Cuando comentas:
"PD: Se me olvidó comentar que como la gente de ASUS no sacó parche para Meltdown/Spectre para el modelo de placa (moderna) que uso para Linux, al final me parchearon la BIOS en la tienda de informática conectando un disco duro con Windows a finales de Enero y aplicando el parche de Windows, pero el "problema" de MOK no me apareció hasta hace un mes, más o menos."

Que placa tienes? es bastante dudoso que en la tienda te actualizaran el firmware de tu placa si el fabricante no largó actualización para dichas vulnerabilidades, me suena mas probable a que tu placa no tenia la última versión del firmware y ellos simplemente te colocaron la mas actual, no creo que ellos modificaran el bios original insertandolé las más nuevas versiones del microcódigo, los únicos métodos que he visto por internet para actualizar es solo para windows, debido a que no actualiza el microcodigo en el arranque si no es por un bug grave como meltdown y spectre, pero tales métodos no actualizan el que se encuentra en el firmware, técnicamente hacen lo mismo que hace linux desde hace años, puedes chequear que se encuentran instalados los paquetes ucode-amd 20180507-1.1 para procesadores AMD y ucode-intel 20180425-2.1 en tu TW.
No tiene nada que ver que le conectaran un disco con win a tu pc con la aparición del cartel de MOK, mi placa no tiene actualizaciones de bios desde 2016 y el cartel aparece igual.

Estimado Krovikan los enlaces que publicaron mas arriba contienen bastante info, no le veo inconvenientes para no tener UEFI y secure boot activado solo para linux.
Con respecto a la bios, descarga e instala la mas actual que ofrezca el fabricante de tu placa, el kernel se encargará del resto.
Saludos.

**Krovikan** · 25-may-2018, 01:57

Vale, más o menos me ha quedado claro. MOK es una capa de seguridad por encima de la BIOS para evitar los antiguos virus de arranque (1 recuerdo haber sufrido en MS-DOS me parece).

Así que lo mejor es decirle a la BIOS que otro SO y que se desactive el Secure Boot que a mi al menos me parece muy muy prescindible.

Me he bajado una actualización de BIOS (hay muchas posteriores a Septiembre del 2016) y ya está mi consulta (ya puedo despreocuparme cuando lea MOK).

Saludos y gracias

**Xnake** · 25-may-2018, 21:21

Iniciado por Cuoco

Que placa tienes? es bastante dudoso que en la tienda te actualizaran el firmware de tu placa si el fabricante no largó actualización para dichas vulnerabilidades, me suena mas probable a que tu placa no tenia la última versión del firmware y ellos simplemente te colocaron la mas actual, no creo que ellos modificaran el bios original insertandolé las más nuevas versiones del microcódigo

Es una ASUSTek COMPUTER INC. H110M-D y no me deja entrar en la web de ASUS ahora (uso Tor), pero sacaron en su momento un parche específico para Spectre / Meltdown que se aplicaba sólo desde Windows, y que fue lo que me instalaron en la tienda (si tocaba BIOS, el microcódigo de la CPU u otra cosa no lo sé). Posteriormente, además, sacaron una actualización de la BIOS (que no he aplicado). Tengo claro que no compraré nada de ASUS en el futuro por su falta de soporte a GNU/Linux.

Hoy, al encender el ordenador (sin haber actualizado el kernel y hecho el Enroll Key ayer) me volvió a aparecer el menú de MOK. Seleccioné la opción Delete Key porque supuse que me iba a aparecer el menú de MOK en cada arranque, y prefiero que lo haga sólo cuando actualice el kernel.

Por lo que pone en https://bugzilla.opensuse.org/show_bug.cgi?id=1094015 parece ser una diferencia entre la clave de shim y la de openSUSE. Dicen que es inofensivo, pero me resulta molesto.