武山です
UEFIブートの場合はDVDイメージからのブートであれ、インストール後であれ、 shim->Grub->kernelの順にロードしているということなのでしょうか。
そうだと思います。(が DVD の場合の確信がありません)
うーん、アップデートにおける対応は分かるのですが、 インストール時はどうするんでしょう。
openSUSE の公開鍵は Shim が最初から持っていますので、 # Shim の鍵で openSUSE の鍵が署名してあるのかどちらでしょう? openSUSE から提供されるカーネルやブートローダー(もちろんインストーラーも)は 特に鍵を登録せずとも Shim から起動できます。 素の openSUSE をインストールしたあと、自分でビルドしたカーネルを起動したいときには、 カスタムカーネルを MOK で署名して、その MOK の Shim への登録作業が必要になります。
一回展開して、chrootして作業したものをもう一度ISOにするような感じでしょうか。
chroot して何を変更するのでしょうか? おそらく気になっていることは、MOK をどこにどうやって保存するのか?という ことではないかと思います。 Shim への鍵の登録は EFI の boot var (値は HDD ではなく、ボード上に保存されるはず) に記録することになります。 インストーラーもカスタムカーネルであるならば、事前に素の openSUSE などで起動しておいて、 MOK を登録しておく必要がありますね。 もちろん Shim は MS の鍵で署名されているので、変更することはできません。
32bit UEFIのみ対応、というのが壁のようです。 13.2 x86_64(プロセッサ自体は64bitなので)で試した限りではダメでした。 13.3及びx86は試していません。
# オフトピになりますが ASUS のタブレットがこんな仕様らしいですね。 OSC 浜名湖でおーぷんここんの島田さんに openSUSE は対応しているかと聞かれて、 32bit 版の Live USB ならどうでしょう?と答えて、結局調べていません。 詳しくはこちらを http://www.slideshare.net/shimadah/201501-uefililotokaidopub Debian など何かで一度ブートしてしまえば、あとはルートパーティションに ディスクイメージを書き込んでしまうなど、色々方法はありそうです。 On 2015/05/04 15:58, MASAKI Yuhsuke wrote:
正木です。
ちょっと分かりにくいのですが、ブートパーティションのファイルに含まれる キーというのが、MOK のはずです。
UEFIブートの場合はDVDイメージからのブートであれ、インストール後であれ、 shim->Grub->kernelの順にロードしているということなのでしょうか。
まぁ、うちで躓いてるマシンは32bit UEFIのCDブート不可(USBdiskのみ) という仕様で対応を諦めているのですが(^^;
USB Live イメージからブートしてインストールではダメでしょうか? 32bit UEFIのみ対応、というのが壁のようです。 13.2 x86_64(プロセッサ自体は64bitなので)で試した限りではダメでした。 13.3及びx86は試していません。
■以下おまけ Asia summit のときのメモによると: $ mokutil --import 鍵? で Shim に MOK を登録できそうな感じです。
OBS でビルドするときは $ osc signkey --create project で、鍵の生成から署名まで全部やってくれるみたいです。
うーん、アップデートにおける対応は分かるのですが、 インストール時はどうするんでしょう。 一回展開して、chrootして作業したものをもう一度ISOにするような感じでしょうか。
On 2015/05/04 14:29, MASAKI Yuhsuke wrote:
正木です。
このShimとMOKによるセキュアブートへの対応ですが、 記事はカーネルをMOKで署名することについてしか書かれていないように見えます。 デフォルトでShimを使っているので、カーネルを署名したものにすればOKだよ、 ということなのでしょうか。
インストールイメージを対応させるのは容易ならざるを予感がします…
まぁ、うちで躓いてるマシンは32bit UEFIのCDブート不可(USBdiskのみ) という仕様で対応を諦めているのですが(^^;
You wrote:
武山です
今後、セキュアブートを無効にできない PC が増えてくると思いますので、セキュアブートを正攻法で乗り越える方法で答えてみます。
で、早速、kernel 4.0.1 をビルドし、テストをしようとすると、vmlinuz の署名が不正とかで、boot させて呉れませんでした.この原因は、ググって解りましたが.
ということですので、解決済みかもしれませんが…。
セキュアブートは証明書で署名された(ただし、ルート証明書はMSのしかない) ブートローダーやカーネル以外を起動できなくする仕組みですが、 openSUSE では Shim という署名済のプリブートローダーを使い起動できるようにしています。
Shim を通して起動する場合も、カーネルとブートローダーが *Shim が知っている鍵* で署名されている必要があります。
openSUSE から提供される Grub やカーネルは Shim に登録されている鍵で署名されています。 # 正確に言うと Shim の鍵で署名されている openSUSE の鍵だと思いますが
Shim には PC 所有者の鍵 (MOK: Machine owner's key) を登録することもでき、自分でビルドしたカーネル(や Grub)を起動できます。
セキュアブート(Shim)下で起動するには、次の作業をすればブートできます。 1. ビルドした machine owner key (自分の鍵) で署名する 2. 鍵を shim に取り込む
署名は手作業でもできますし、カーネルのビルドを OBS に任せていれば、 OBS に自分の秘密鍵を取り込んでおくことで、自動で署名してくれるそうです。
昨年の openSUSE.Asia Summit で丁寧な解説がありましたが、 残念ながら、スライドが見当たりません。
この辺を参考にしてみて下さい: https://www.suse.com/ja-jp/documentation/sles11/book_sle_admin/data/sec_uefi... https://en.opensuse.org/openSUSE:UEFI
On 2015/05/03 16:12, 野宮 賢 / NOMIYA Masaru wrote:
野宮です.
HP workstation xw9400 がヘタって来たので、新規パソコン
HP ENVY Phoenix 810-480jp
を購入しました. 連休で時間が取れるので、Windows 8.1 をさっさと削除し、openSUE 12.3 のインストールに挑戦しました.が、DVD を読み込むや否や、
安全なブートの侵害 無効な署名が検出されました。 セットアップで安全なブート ポリシーを調べてください。
という警告が赤い画面で表示されます. ところが、openSUSE 13.2 のインストールは出来ました. で、早速、kernel 4.0.1 をビルドし、テストをしようとすると、vmlinuz の署名が不正とかで、boot させて呉れませんでした.この原因は、ググって解りましたが.
ここで、YaST2 のブートの設定画面で「secure boot」のチェックを外し、再起動したところ、また、
安全なブートの侵害 無効な署名が検出されました。 セットアップで安全なブート ポリシーを調べてください。
が表示されました.「secure boot」を外すと、こうなるものなのでしょうか?
これは、パソコンがおかしい兆候でしょうか?
宜しくお願いします.
--- ┏━━┓彡 野宮 賢 mail-to: nomiya @ galaxy.dti.ne.jp ┃\/彡 ┗━━┛ 「eメールや携帯電話に縛られた社会は、自分自身と向き合ったり、 空想にふけったりする自由を奪う。」 -- M. Crichton --
-- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org
****************************** * The Rider, Hacker and Musician. * +++ ENABLE YOUR HEART +++ ****************************** * MASAKI Yuhsuke. * hydrangea@reasonset.net * Website: http://reasonset.net/ * GitHub : https://github.com/reasonset/ * Twitter: @reasonset ******************************
-- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org
****************************** * The Rider, Hacker and Musician. * +++ ENABLE YOUR HEART +++ ****************************** * MASAKI Yuhsuke. * hydrangea@reasonset.net * Website: http://reasonset.net/ * GitHub : https://github.com/reasonset/ * Twitter: @reasonset ******************************
-- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org To contact the owner, e-mail: opensuse-ja+owner@opensuse.org