Was kann besser werden? - Secure Boot Violation Peter_Justi - 06.06.2021, 00:00 Uhr Titel: Secure Boot Violation
Beim Booten des kanotix-usb-sticks auf PCs, bei denen UEFI-Secure-Boot eingerichtet ist, kommt die Fehlermeldung:
Ich möchte aber nicht (und kann wahrscheinlich auch nicht) auf diesen PCs in der Uni die Secure Boot Policy ändern.
lubuntu hat dieses Problem nicht, lubuntu-usb-sticks - ebenfalls mit dd aus dem ISO-Image erzeugt - starten problemlos.
Bei knoppix muss man ein "Enroll Hash" einmalig vornehmen, dann klappt es auch.
Lässt sich das in kanotix auch einrichten?
(getestet mit der LXDE-extra-Version vom 16.5.2021)
Antonius - 06.06.2021, 22:53 Uhr Titel: Ventoy?
Bis dir hier von den Experten eventuell eine originäre Lösung vorgeschlagen wird, versuch doch mal, ob vielleicht ein mit Ventoy erstellter Kanotix-USB-Stick funktioniert.
Zu Secure Boot findest du dort Folgendes:
https://www.ventoy.net/en/doc_secure.htmlKano - 08.06.2021, 19:35 Uhr Titel: Ventoy?
Der Umweg über Ventoy könnte gehen aber Kanotix direkt wird kein shim verwenden. GRUB ist dann zu sehr eingeschränkt, das gefällt mir nicht. Der Sicherheitsgewinn von Secure Boot ist ja eher akademischer Art, klar kann man das dann noch koppeln mit anderen Massnahmen aber mir war damals schon Secure Boot unsympathisch wo es ganz neu war. Mit dem Linux foundation loader kann man eh alles nachladen (Ventoy im SB Mode muss was sehr ähnliches dabei haben) inklusive auch W7. Wo der Sinn dann noch sein soll kann sich jeder selbst überlegen. shim wie bei *buntu und dann chainload zu GRUB geht aber es kann dann keine Module nachladen.
Daddy-G - 09.06.2021, 19:39 Uhr Titel: secure-boot
Man muss wegen Secure-Boot nicht auf irgendein *buntu oder Knoppix zurückgreifen. Debian-Buster (stable) und Bullseye (bald stable) starten problemlos mit Secure Boot, daneben weitere Debian-Derivate aus Deutschland.
Kanotix hat in einigen Punkten Vorteile, aber man muss sich immer was einfallen lassen wegen fehlendem secure-boot,
Peter_Justi - 12.06.2021, 20:28 Uhr Titel: secure-boot
Hallo Kano, Deine Ablehnung gegenüber Secure Boot kann ich verstehen, auf meinem privaten Laptop habe ich das auch ausgeschaltet. Für meinen "Use Case", die Benutzung der PCs in unserem Labor in der Uni, hilft mir das aber nicht, da kann ich Secure Boot nicht abstellen, und somit leider mein derzeitiges Lieblings-Linux kanotix nicht verwenden.
Der Umweg über Ventoy funktioniert leider auch nicht, es kommen die Fehlermeldungen:
Secure Boot forbids loading module from (cd0)/boot/grub/x86_64-efi/echo.mod .
Secure Boot forbids loading module from (cd0)/boot/grub/x86_64-efi/linux.mod .
Schönen Gruß, Peter
Peter_Justi - 20.06.2021, 01:00 Uhr Titel: secure-boot
Workaround: Debian Live ist tatsächlich eine Alternative, die Secure Boot beherrscht und kanotix sehr ähnlich ist, mit ähnlicher Software-Auswahl, allerdings in älteren Versionen. Bei der Sprachunterstützung - mich interessierte hier nur die deutsche Variante - fehlt allerdings das Tastatur-Layout. Da die kernel-boot-Parameter anscheinend bei Debian und kanotix weitgehend gleich sind, konnte ich per hexedit auf dem Debian Live USB-Stick die Dateien /boot/grub/grub.cfg (für Secure Boot) und /isolinux/menu.cfg (für Standard Boot) um zwei deutsche Boot-Varianten "toram" und "persistence" erweitern, mit den Parametern "keyboard-layouts=de keyboard-variants=nodeadkeys" für das deutsche Tastatur-Layout. Auf der ext4-formatierten "persistence"-Partition habe ich noch - analog zu kanotix - die Datei persistence.conf angelegt mit der einzigen Zeile "/ union" - keine Ahnung, ob das nötig ist, aber es funktioniert wie bei kanotix.
knoppix und lubuntu finde ich aber nach wie vor auch gut, und beide beherrschen Secure Boot. Da knoppix mit 32bit arbeitet, gibt es manche Software dafür allerdings nicht, z.B. discord, oder nur in älteren Versionen.