Mensaje MOK al actualizar kernel en Tumbleweed

[Xnake]

Estimado Xnake, acabo de actualizar el kernel, no apareció el cartel de MOK, al parecer en mi pc si funcionó lo de colocar enroll key y poner el pass de root.
Saludos.

A mí también me funcionó el primer reinicio, pero cuando arranqué el PC que estaba apagado desde el día anterior volvió a mostrar el menú de MOK

[mikrios]

Hola:

Perdón por responder tarde.

En la placa que he probado tuve 3 fallos o actualice mal 3 veces las claves y el modo seguro dejo de funcionar, actualice la bios y el sistema se reparo y volvió a funcionar (ademas creo que advirtió con un mensaje, creo que era de poner en contacto con el proveedor, puede que sea por sus 3 firmas,el tema es que se me ocurrió actualizar la bios y ese mensaje no salio mas y pude seguir intentando instalaciones de arranque seguro ( como era para un trabajo que se hizo para la wiki, se hicieron muchas instalaciones y pruebas, asus permitía trabajar con sus bases de datos,al fallar 3 veces,paso eso) .

Edito, ademas puede ser de ayuda; aún creo que tengo en el history de konsole, las utilidades para verlo, claro que si no los tengo instalado muestra otra cosa:

Código:

FRANK-Z87-D:~ # mokutil     
Usage:
  mokutil OPTIONS [ARGS...]

Options:
  --help                                Show help
  --list-enrolled                       List the enrolled keys
  --list-new                            List the keys to be enrolled
  --list-delete                         List the keys to be deleted
  --import <der file...>                Import keys
  --delete <der file...>                Delete specific keys
  --revoke-import                       Revoke the import request
  --revoke-delete                       Revoke the delete request
  --export                              Export enrolled keys to files
  --password                            Set MOK password
  --clear-password                      Clear MOK password
  --disable-validation                  Disable signature validation
  --enable-validation                   Enable signature validation
  --sb-state                            Show SecureBoot State                                       
  --test-key <der file>                 Test if the key is enrolled or not                          
  --reset                               Reset MOK list                                              
  --generate-hash[=password]            Generate the password hash                                  
  --ignore-db                           Ignore DB for validation                                    
  --use-db                              Use DB for validation                                       
  --import-hash <hash>                  Import a hash into MOK or MOKX                              
  --delete-hash <hash>                  Delete a hash in MOK or MOKX                                
  --set-verbosity <true/false>          Set the verbosity bit for shim                              
  --pk                                  List the keys in PK                                         
  --kek                                 List the keys in KEK                                        
  --db                                  List the keys in db
  --dbx                                 List the keys in dbx
  --revoke-cert                         Revoke the built-in certificate in shim

Supplimentary Options:
  --hash-file <hash file>               Use the specific password hash
  --root-pw                             Use the root password
  --simple-hash                         Use the old password hash method
  --mokx                                Manipulate the MOK blacklist

.

Código:

FRANK-Z87-D:~ # mokutil --list-enrolled
Failed to read MokListRT: No such file or directory

, esto, último cambia si tengo el mok instalado ; ( creo que hay un video de SUSE que explica como se hace, pero ahora no recuerdo donde está).


Saludos cordiales.

[mikrios]

Hola:

Con los cambios constantes en la z87 deluxe, también me sale una pantalla en azul avisando del mok y un temporizador para arrancar (boot), lo hace al querer firmar TW (no sera que como es una iso actualizada, haya podido cambiar las firmas, creo que lo máximo son 5, de todas formas cuando pueda le vuelvo a meter el firmware a la bios, lo que tendré de nuevo el contador a 0 (Z87-DELUXE-ASUS-2103.CAP) , la mok es la del fabricante, la que importa es la 1ª, esa de mok puedo ignorarla, ya que no tengo habilitado arranque seguro, excepto por win 10, que hace lo que le da la gana ) .

Saludos cordiales.

[Xnake]

Hace al menos dos o tres actualizaciones del kernel que ya no me sale el mensaje de MOK, desde que hice el Enrroll key hace tiempo. Aún me aparecía a veces el menú de MOK sin esa opción, por lo que le daba a Continue boot y arrancaba normalmente.

Me he fijado hoy y ayer al hacer zypper dup en Tumbleweed que me dice que la clave ya está incorporada (ver al final):

Código:

(40/49) Installing: kernel-default-4.17.4-1.6.x86_64 ........................................................................................................................[done]
Additional rpm output:
Creating initrd: /boot/initrd-4.17.4-1-default                                                                                                                                     
dracut: Executing: /usr/bin/dracut --logfile /var/log/YaST2/mkinitrd.log --force /boot/initrd-4.17.4-1-default 4.17.4-1-default                                                    
dracut: *** Including module: bash ***
dracut: *** Including module: systemd ***
dracut: *** Including module: warpclock ***
dracut: *** Including module: systemd-initrd ***
dracut: *** Including module: i18n ***
dracut: Could not find FONT_MAP none!
dracut: *** Including module: drm ***
dracut: *** Including module: plymouth ***
dracut: *** Including module: kernel-modules ***
dracut: *** Including module: resume ***
dracut: *** Including module: rootfs-block ***
dracut: *** Including module: suse-xfs ***
dracut: *** Including module: terminfo ***
dracut: *** Including module: udev-rules ***
dracut: Skipping udev rule: 40-redhat.rules
dracut: Skipping udev rule: 50-firmware.rules
dracut: Skipping udev rule: 50-udev.rules
dracut: Skipping udev rule: 91-permissions.rules
dracut: Skipping udev rule: 80-drivers-modprobe.rules
dracut: Skipping udev rule: 61-persistent-storage-compat.rules
dracut: *** Including module: dracut-systemd ***
dracut: *** Including module: haveged ***
dracut: *** Including module: ostree ***
dracut: *** Including module: usrmount ***
dracut: *** Including module: base ***
dracut: *** Including module: fs-lib ***
dracut: *** Including module: shutdown ***
dracut: *** Including module: suse ***
dracut: *** Including modules done ***
dracut: *** Installing kernel module dependencies and firmware ***
dracut: *** Installing kernel module dependencies and firmware done ***
dracut: *** Resolving executable dependencies ***
dracut: *** Resolving executable dependencies done***
dracut: *** Hardlinking files ***
dracut: *** Hardlinking files done ***
dracut: *** Stripping files ***
dracut: *** Stripping files done ***
dracut: *** Generating early-microcode cpio image ***
dracut: *** Constructing GenuineIntel.bin ****
dracut: *** Store current command line parameters ***
dracut: Stored kernel commandline:
dracut:  resume=UUID=9ef24e66-d94b-4c0c-8c12-5c1ef79c6819
dracut:  root=UUID=97fec6f5-eeda-4e63-8fd8-ac790c055144 rootfstype=ext4 rootflags=rw,relatime
dracut: *** Creating image file '/boot/initrd-4.17.4-1-default' ***
dracut: *** Creating initramfs image file '/boot/initrd-4.17.4-1-default' done ***
SKIP: /etc/uefi/certs/188EA6FA.crt is already enrolled

[mikrios]

Hola:


Solo lo hacía TW, las otras versiones no.

Pantalla azul con un contador para el boot.

En mi caso recurrí a actualizar el firmware y ya no me apareció, mas (pero me cargue la partición de TW y solo deje el boot efi que es el que me arranca win y la 42.3 (ese espacio, o pongo la 15.0 o vuelvo a meter TW, ahora mismo hay 2 sistemas y un 3º no operativo(o hago una copia del grub y la pongo en otro disco y después desde la bios lo selecciono) .

Hubo una actualización de shim y algunas cosas mas, no recuerdo si fue ahí (ya que actualice otro pc y no salia nada del mok, también hice una instalación nueva en otro equipo x99 deluxe II y tampoco salia )

O cabe la posibilidad que no se firmara bien y con la actualización si se pudo hacer ( todos mis equipos son Asus, excepto los portátiles, que son Acer, y solo paso en uno el z87 deluxe) .

se puede ver con cat /var/log/zypp/history .

Saludos cordiales.

[NestorAcevedo]

Hoy me acaba de aparecer el siguiente mensaje:

Código:

...
Failed to enroll new keys                                                                                                                    
Failed to import /etc/uefi/certs/188EA6FA.crt

Adicional, y creo que abriré un nuevo tema, me apareció:

Código:

...
dracut: Stored kernel commandline:                                                                                                           
dracut:  resume=UUID=2740316e-e8b2-4757-85ca-74fdca0ab2ad                                                                                    
dracut:  root=UUID=206f01b4-e635-41fd-8986-86df29244c28 rootfstype=btrfs rootflags=rw,relatime,space_cache,subvolid=4548,subvol=/@/.snapshots/1472/snapshot,subvol=@/.snapshots/1472/snapshot

Me toma un snapshot muy viejo.

[mikrios]

Hola:

Parece que lo hace TW, debio ser una actualización, aunque no estoy muy seguro, si es sobre moc, ya me lo hizo 2 veces a pesar de actualizar, me hace pensar que están trabajando sobre un dual boot o el arranque seguro o el firmware que instala al principio ( se puede mirar el fichero de texto que indica los cambios que se han realizado, el enlace lo encuentras en distribución, en tw y de ahí a iso "http://download.opensuse.org/tumbleweed/iso/" mira la fecha en que ha pasado.

Tampoco es normal, que te inicie en una snapshots si es que no la seleccionas tú en el arranque, si lo ha hecho el (donwgrqade, no se si para corregir algo, si es así reafirma las imágenes del arranque, para que tome datos actuales, usa dracut --force en la consola, al final de todo hará una nueva initrd y initramfs )

Por curiosidad (aunque no actualice las últimas, ya que tengo pantalla en negro de la anterior actualización) , los certificados sabes si cambian o mantienen el mismo, en mi caso en /etc/uefi/certs/ tiene 4659838C.crt .

Se puede usar la utilidad de snapper de yast, te sitúas sobre la última snapshots, posiblemente habrá un despegable vas a donde pone etc ( corresponde al directorio de la raíz) y que te muestre los cambios (si ha cambiado muestra los cambios de la actual snapshots y la última que es donde hizo el cambio) .

Sobre la última actualización fue "http://fr2.rpmfind.net/linux/opensuse/tumbleweed/iso/Changes.20180910.txt" el 10-09-2018 .

En caso de que quieras actualizar tu mismo, cada vez que TW lanza una actualización , suele hacer una iso de ella, con lo cual la puedes bajar y grabarla en un pendrive, y actualizar desde el usb (actualizar no instalación, para que no borre nada, recordar añadir los repositorios al principio cuando los pide) .

Es esta : openSUSE-Tumbleweed-DVD-x86_64-Current.iso , o puedes usar la net y que lo haga por la web.

Edito, puse una iso 1º que era para i586, la de x86-64 es openSUSE-Tumbleweed-DVD-x86_64-Snapshot20180910-Media.iso (debe corresponder con la current.iso)

Por cierto el mensaje te ha salido por alguna actualización ? .

Edito: actualice desde tty, se reparo sesión de usuario (aunque tengo autologin, me sale la pantalla de sddm pidiendo el pass) y si hubieron actualizaciones importantes, ejemplos : kernel firmware, kernel , snapper, varios de yast, etc ...

Se queda :

Código PHP:

frank@TW-Z87-FRANK:~> inxi -Fz
System:
  Host: TW-Z87-FRANK Kernel: 4.18.6-1-default x86_64 bits: 64 
  Desktop: KDE Plasma 5.13.4 Distro: openSUSE Tumbleweed 20180910 
Machine:
  Type: Desktop System: ASUS product: All Series v: N/A serial: <filter> 
  Mobo: ASUSTeK model: Z87-DELUXE v: Rev 1.xx serial: <filter> 
  UEFI: American Megatrends v: 2103 date: 08/15/2014 
CPU:
  Topology: Quad Core model: Intel Core i7-4770S bits: 64 type: MT MCP 
  L2 cache: 8192 KiB 
  Speed: 1497 MHz min/max: 800/3900 MHz Core speeds (MHz): 1: 1497 2: 1497 3: 1497 
  4: 1497 5: 1499 6: 1498 7: 1498 8: 1499 
Graphics:
  Card-1: NVIDIA GK106 [GeForce GTX 660] driver: nouveau v: kernel 
  Display: x11 server: X.org 1.20.1 driver: nouveau unloaded: fbdev,modesetting,vesa 
  resolution: <xdpyinfo missing> 
  OpenGL: renderer: NVE6 v: 4.3 Mesa 18.1.7 
Audio:
  Card-1: Intel 8 Series/C220 Series High Definition Audio driver: snd_hda_intel 
  Card-2: NVIDIA GK106 HDMI Audio driver: snd_hda_intel 
  Sound Server: ALSA v: k4.18.6-1-default 
Network:
  Card-1: Intel Ethernet I217-V driver: e1000e 
  IF: eno1 state: down mac: <filter> 
  Card-2: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet driver: r8169 
  IF: enp9s0 state: up speed: 1000 Mbps duplex: full mac: <filter> 
Drives:
  Local Storage: total: 8.52 TiB used: 12.12 GiB (0.1%) 
  ID-1: /dev/sda vendor: OCZ model: VECTOR size: 119.24 GiB 
  ID-2: /dev/sdb vendor: Seagate model: ST1000DM003-9YN162 size: 931.51 GiB 
  ID-3: /dev/sdc vendor: Seagate model: ST1000DM003-1CH162 size: 931.51 GiB 
  ID-4: /dev/sdd vendor: Western Digital model: WD20EFRX-68EUZN0 size: 1.82 TiB 
  ID-5: /dev/sde vendor: Western Digital model: WD20EFRX-68EUZN0 size: 1.82 TiB 
  ID-6: /dev/sdf vendor: Kingston model: SHPM2280P2 240G size: 223.57 GiB 
  ID-7: /dev/sdg type: USB vendor: Toshiba model: MQ01UBD050 size: 465.76 GiB 
  ID-8: /dev/sdh type: USB vendor: Toshiba model: MQ01ABB200 size: 1.82 TiB 
  ID-9: /dev/sdi type: USB vendor: Toshiba model: STOR.E ALU 2S size: 465.76 GiB 
Partition:
  ID-1: / size: 49.07 GiB used: 7.49 GiB (15.3%) fs: btrfs dev: /dev/sda2 
  ID-2: /home size: 59.02 GiB used: 4.63 GiB (7.8%) fs: btrfs dev: /dev/sda3 
  ID-3: /opt size: 49.07 GiB used: 7.49 GiB (15.3%) fs: btrfs dev: /dev/sda2 
  ID-4: /tmp size: 49.07 GiB used: 7.49 GiB (15.3%) fs: btrfs dev: /dev/sda2 
  ID-5: /var size: 49.07 GiB used: 7.49 GiB (15.3%) fs: btrfs dev: /dev/sda2 
  ID-6: swap-1 size: 10.41 GiB used: 0 KiB (0.0%) fs: swap dev: /dev/sda4 
Sensors:
  System Temperatures: cpu: 32.0 C mobo: 29.0 C gpu: nouveau temp: 31 C 
  Fan Speeds (RPM): cpu: 725 fan-1: 872 fan-3: 828 fan-4: 430 fan-5: 1136 fan-6: 0 
  gpu: nouveau fan: 1080 
Info:
  Processes: 258 Uptime: N/A Memory: 31.35 GiB used: 803.2 MiB (2.5%) Shell: bash 
  inxi: 3.0.20 


Saludos cordiales

[NestorAcevedo]

Por cierto el mensaje te ha salido por alguna actualización ? .

En efecto, fue una actualización.

Por curiosidad (aunque no actualice las últimas, ya que tengo pantalla en negro de la anterior actualización) , los certificados sabes si cambian o mantienen el mismo, en mi caso en /etc/uefi/certs/ tiene 4659838C.crt .

Hay 2 certificados: el del error y el que usted tiene, el 4659838C

Lo extraño del snapshot es que ese, en el que está pegado el sistema, se creó automáticamente. Yo había restaurado el sistema meses atrás por un problema que había comentado en el foro sobre la interfaz, que quedaba en negro después de iniciar sesión, luego se generó ese snapshot después de varias actualizaciones y desde ahí, no ha tomado el último.

No he intentado actualizarlo pero voy a revisar si no daño el sistema al realizar la actualización desde una USB XD

[mikrios]

Hola:


Mirando el txt de la actualización mas la actualización de mi equipo, me pareció que en el tuyo todo fue normal ( dado el material que se actualizaba) ; excepto por ese donwgrade .

Sannaper creo que fue uno de los que entraba, si es así tendría que leer y comprobar conf del mismo, puede que el script mandara esa snapshots como actual, ya que estaba libre de errores, vamos ni idea, pero lo normal, es que el no lo haga de forma automática, si lo hizo, por algo sería ( teniendo en cuenta que también he actualizado la misma que tu, ya que tenía pendiente pantalla en negro, por algún problema de plasma, y en mi caso si respeto las snapshots) .

Saludos cordiales.