Ich weiß ja aus eigener Erfahrung das es die Hersteller einem manchmal so richtig schwer machen diesen von MS dominierten Müll abzuschalten aber das es tatsächlich x86-Geräte geben soll die einen dazu zwingen ist mir noch nicht untergekommen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 27. Mai 2016 um 15:36.
Bei meinem Acer Notebook musste ich: 1. ein BIOS/UEFI Passwort vergeben (vorher ging gar nichts). 2. den neu installierten Grub-Bootload als gültig kennzeichnen (obwohl der schon signiert war) 3. Die Bootreihenfolge der Bootloader so ändern das Grub vorne steht (vor dem bösen WinBoot)
Zugegeben, den letzten Schritt hätt' ich mir sparen können, wenn ich Microsofts OS zuvor gelöscht hätte. Dazu war ich wohl zu geizig, denn ich wurde ja genötigt, den Scheiß zu bezahlen.
Auch wenn die ganze Geschichte für mich persönlich eine Unverschämtheit von Microsoft und einem Hardwarehersteller ist: Du wurdest dennoch nicht genötigt, von Acer angebotene Hardware mit vorinstalliertem Windows zu kaufen.
Microsoft ist zwar IMO der schlimmste Feind von Linux, nur zum Kauf solcher Hardware zwingen kann Dich weder Microsoft noch Acer.
Aus Deinem Posting lese ich, dass Du ohne von Microsoft signierte Bootloader-Software gar kein Nicht-Windows-Betriebssystem mehr ausführen kannst?
Ich möchte Dich deshalb bitten, die Modelbezeichnung Deiner Hardware hier anzugeben, damit man Linuxnutzer davor warnen kann.
Nein, gezwungen wurde ich zu gar nichts. Allerdings wurde das fragliche Notebook nur mit Windows angeboten, ein Angebot ohne habe ich nicht gesehen.
Da ich nun im Besitz einer unerwünschten aber gültigen Windos 10 Lizenz bin habe ich mich entschieden es zunächst beizubehalten und Linux (Fedora) parallel als Dual-Boot zu installieren. Afaik muss man dafür auch "Secure Boot" beibehalten, oder?
Nun denn, nach den oben beschriebenen Klimmzügen hat es jedenfalls geklappt und es läuft bislang super. Hätte ich das vorinstallierte Windows plattgemacht wäre natürlich auch ein UEFI-Setup ohne Secure Boot oder der bewährte alte BIOS-Modus infrage gekommen. In diesem Fall wäre ich vermutlich einfach den Empfehlungen der Distribution gefolgt...
Auch wenn die ganze Geschichte für mich persönlich eine Unverschämtheit von Microsoft und einem Hardwarehersteller ist: Du wurdest dennoch nicht genötigt, von Acer angebotene Hardware mit vorinstalliertem Windows zu kaufen.
Microsoft ist zwar IMO der schlimmste Feind von Linux, nur zum Kauf solcher Hardware zwingen kann Dich weder Microsoft noch Acer.
Aus Deinem Posting lese ich, dass Du ohne von Microsoft signierte Bootloader-Software gar kein Nicht-Windows-Betriebssystem mehr ausführen kannst?
Ich möchte Dich deshalb bitten, die Modelbezeichnung Deiner Hardware hier anzugeben, damit man Linuxnutzer davor warnen kann.
Das Vorgehen bei Acer (meines ist das V3) kann ich bestätigen. Allerdings muss der Bootloader (Grub bei mir) nicht signiert sein. Ich nutze Arch und habe SecureBoot = On. Es gibt in meinem UEFI-Bios die Funktion "Mark File As Trusted For Execute" (oder so ähnlich). Bei meiner ersten Ubuntu-Installation musste ich den Schritt nicht machen, da hier Grub bereits signiert ist. Warnen muss man nicht, eher loben... SecureBoot ausschalten geht natürlich auch. Windoof habe ich mittlerweile "getilgt".
Von "Nutzen" kann wohl kaum die Rede sein. Die bessere Frage wäre wohl eher: "Müssen Sie sich mit Secure Boot herumärgern?"
Ich sehe nicht den geringsten Nutzen in dieser Technik. Wenn ein Angreifer so dicht an die Maschine herankommt, dass er das Bios manipulieren kann, hat man ganz andere Probleme....
sehe ich genauso - mit so einem proprietären Driss darf sich der Linuxer rumärgern, nur weil die Industrie so bescheuert ist, jeden Dreck zu unterstützen wenn er nur von M$ abgesegnet ist. Userfriendly geht völlig anders!
Mein Rechner hat zwar noch ein ganz normales BIOS (i7-2600K + entsprechendes Mainboard von 2011), aber wenn ich mal das Mainboard tauschen sollte oder vielleicht einen neuen Rechner kaufen würde, dann wäre SecureBoot das erste was ich abschalten würde (natürlich würde ich nur solche Rechner/Mainboards in Betracht ziehen, die das abschalten ermöglichen - d.h. ich würde mich vorher umfangreich informieren).
Ich sehe auch nach wie vor kein Sinn im von MS dominierten SecureBoot. Außerdem weiß wohl niemand, wie viel "Secure" da wirklich drin steckt und selbst wenn, wenn jemand (außer dem Besitzer) physischen Kontakt zum zu schützenden Rechner bekommt und nicht wohlgesonnen ist, dann hat man ganz andere Probleme und ich kann mir nicht im geringsten vorstellen, dass SecureBoot hier ein Hindernis für diesen "Bösewicht" darstellen würde.
Fazit: Der Sinn und Nutzen von SecureBoot ruft bei mir immer noch Fragezeichen im Kopf hervor. Das was ich so über SecureBoot lese ist, dass es eher Probleme schafft, die man ohne nicht hätte. Es gibt andere und bessere Wege um seine Daten auf dem Rechner zu schützen!
Secure Boot? Erlich gesagt, schon mit dem Begriff kann ich nicht all zu viel anfangen. Habe meinen Rechenknecht aus Einzelteilen (tech-Stand 2012) selbst gebaut. Und ja, UEFI-BIOS hat das ASUS-MOBO!
Vermutlich Leute die nicht nur ihr Betriebssystem (Stichwort LUKS und der gleichen) schützen wollen sondern eben auch gleich die Hardware.
Was hindert die "Evil Maid" daran, dasselbe zu tun?
Steht ja im verlinkten Wiki.
Wer sich die Mühe macht sein Secureboot sauber mit eigenen Zertifikaten einzurichten und diese Einrichtung dann im BIOS mit einem guten Passwort schützt kann zusammen mit LUKS sich durchaus eine kleine Festung zusammenstellen an der sich mit ziemlicher Sicherheit sogar die NSA die Zähne ausbeißen würde. Natürlich nur unter der Voraussetzung das der Computerhersteller bei der Produktion und Implementation nicht unabsichtlich/absichtlich etwas falsch gemacht hat.
Ja, ich hab das auf meinem Gentoo gemacht. Ist auch nicht so schwer wie es klingt, gibt gute Tutorials dazu. Das schwerste war in Grunde das Ebuild mit ner git Version der Efi-Tools zu erstellen, weil die Version in den Repositories noch nicht immer tut was sie soll. Hat man sich seine Sachen generiert, muss man nachdem man den Kernel gebaut hat nur den Befehlzum signieren ausführen, schon war es dass. Brauchtest nicht mal einen Grub oder Shim dazu, willst dem Kernel ne Option beim Starten mitgeben kannst du die Direkt in den Kernel mitbauen Klassen
Bei mir ist Secure Boot abgeschaltet, da ich Installationen meist aus einer Multiboot Umgebung (wie Yumi oder Multisystem) heraus installiere, die oft kein Secure Boot unterstützen. Für die meisten wird das ganze ohne Secure Boot auch reichen.
Zudem würde ich mir nie ein Gerät kaufen ohne die Möglichkeit Secure Boot auszuschalten, alleine um die Marktmacht Microsoft's nicht zu untermauern, während sich viele Linux-Distributionen keine Signierung leisten können (Kostet sowas eigentlich? Wenn nicht ist es trotzdem bestimmt ein Zeitaufwand)
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Mai 2016 um 13:11.
Ja es kostet etwas eine EFI-App von Microsoft signieren zu lassen, wie viel genau weiß ich auch nicht doch Microsoft behauptet das sie damit lediglich die Umkosten abdecken wollen. Aber sie signieren nicht alles, beim Linux-Kernel weigern sie sich schlicht und auch bei Bootloadern welche nachträglich keine gültige Signierung mehr verlangen zicken sie gerne herum.
Ich weiß ja aus eigener Erfahrung das es die Hersteller einem manchmal so richtig schwer machen diesen von MS dominierten Müll abzuschalten aber das es tatsächlich x86-Geräte geben soll die einen dazu zwingen ist mir noch nicht untergekommen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 27. Mai 2016 um 15:36.Lenovo Ideapad 100S-11IBY, Modellnummer 80R2002JGE
zum Bleistift
Und Ersatzteile habe ich auch noch genug für ein paar weitere Jahre AM2(+)/AM3(+).
Nix kaufe neu, liebe Industrie, haha.
Ich besitze auch kein einziges System, welchen schon über UEFI verfügt. Kann man nichts machen.
Bei meinem Acer Notebook musste ich:
1. ein BIOS/UEFI Passwort vergeben (vorher ging gar nichts).
2. den neu installierten Grub-Bootload als gültig kennzeichnen (obwohl der schon signiert war)
3. Die Bootreihenfolge der Bootloader so ändern das Grub vorne steht (vor dem bösen WinBoot)
Zugegeben, den letzten Schritt hätt' ich mir sparen können, wenn ich Microsofts OS zuvor gelöscht hätte. Dazu war ich wohl zu geizig, denn ich wurde ja genötigt, den Scheiß zu bezahlen.
Auch wenn die ganze Geschichte für mich persönlich eine Unverschämtheit von Microsoft und einem Hardwarehersteller ist: Du wurdest dennoch nicht genötigt, von Acer angebotene Hardware mit vorinstalliertem Windows zu kaufen.
Microsoft ist zwar IMO der schlimmste Feind von Linux, nur zum Kauf solcher Hardware zwingen kann Dich weder Microsoft noch Acer.
Aus Deinem Posting lese ich, dass Du ohne von Microsoft signierte Bootloader-Software gar kein Nicht-Windows-Betriebssystem mehr ausführen kannst?
Ich möchte Dich deshalb bitten, die Modelbezeichnung Deiner Hardware hier anzugeben, damit man Linuxnutzer davor warnen kann.
Nein, gezwungen wurde ich zu gar nichts. Allerdings wurde das fragliche Notebook nur mit Windows angeboten, ein Angebot ohne habe ich nicht gesehen.
Da ich nun im Besitz einer unerwünschten aber gültigen Windos 10 Lizenz bin habe ich mich entschieden es zunächst beizubehalten und Linux (Fedora) parallel als Dual-Boot zu installieren. Afaik muss man dafür auch "Secure Boot" beibehalten, oder?
Nun denn, nach den oben beschriebenen Klimmzügen hat es jedenfalls geklappt und es läuft bislang super. Hätte ich das vorinstallierte Windows plattgemacht wäre natürlich auch ein UEFI-Setup ohne Secure Boot oder der bewährte alte BIOS-Modus infrage gekommen. In diesem Fall wäre ich vermutlich einfach den Empfehlungen der Distribution gefolgt...
Hoffe damit zur Klärung beigetragen zu haben.
Auch wenn die ganze Geschichte für mich persönlich eine Unverschämtheit von Microsoft und einem Hardwarehersteller ist: Du wurdest dennoch nicht genötigt, von Acer angebotene Hardware mit vorinstalliertem Windows zu kaufen.
Microsoft ist zwar IMO der schlimmste Feind von Linux, nur zum Kauf solcher Hardware zwingen kann Dich weder Microsoft noch Acer.
Aus Deinem Posting lese ich, dass Du ohne von Microsoft signierte Bootloader-Software gar kein Nicht-Windows-Betriebssystem mehr ausführen kannst?
Ich möchte Dich deshalb bitten, die Modelbezeichnung Deiner Hardware hier anzugeben, damit man Linuxnutzer davor warnen kann.
Tolles Doppelposting und vor allem so einfach.
Das Vorgehen bei Acer (meines ist das V3) kann ich bestätigen. Allerdings muss der Bootloader (Grub bei mir) nicht signiert sein. Ich nutze Arch und habe SecureBoot = On. Es gibt in meinem UEFI-Bios die Funktion "Mark File As Trusted For Execute" (oder so ähnlich). Bei meiner ersten Ubuntu-Installation musste ich den Schritt nicht machen, da hier Grub bereits signiert ist. Warnen muss man nicht, eher loben... SecureBoot ausschalten geht natürlich auch. Windoof habe ich mittlerweile "getilgt".
Von "Nutzen" kann wohl kaum die Rede sein. Die bessere Frage wäre wohl eher: "Müssen Sie sich mit Secure Boot herumärgern?"
Ich sehe nicht den geringsten Nutzen in dieser Technik.
Wenn ein Angreifer so dicht an die Maschine herankommt, dass er das Bios manipulieren kann, hat man ganz andere Probleme....
sehe ich genauso - mit so einem proprietären Driss darf sich der Linuxer rumärgern, nur weil die Industrie so bescheuert ist, jeden Dreck zu unterstützen wenn er nur von M$ abgesegnet ist. Userfriendly geht völlig anders!
Ja, sehe ich ganz genauso.
Mein Rechner hat zwar noch ein ganz normales BIOS (i7-2600K + entsprechendes Mainboard von 2011), aber wenn ich mal das Mainboard tauschen sollte oder vielleicht einen neuen Rechner kaufen würde, dann wäre SecureBoot das erste was ich abschalten würde (natürlich würde ich nur solche Rechner/Mainboards in Betracht ziehen, die das abschalten ermöglichen - d.h. ich würde mich vorher umfangreich informieren).
Ich sehe auch nach wie vor kein Sinn im von MS dominierten SecureBoot. Außerdem weiß wohl niemand, wie viel "Secure" da wirklich drin steckt und selbst wenn, wenn jemand (außer dem Besitzer) physischen Kontakt zum zu schützenden Rechner bekommt und nicht wohlgesonnen ist, dann hat man ganz andere Probleme und ich kann mir nicht im geringsten vorstellen, dass SecureBoot hier ein Hindernis für diesen "Bösewicht" darstellen würde.
Fazit:
Der Sinn und Nutzen von SecureBoot ruft bei mir immer noch Fragezeichen im Kopf hervor. Das was ich so über SecureBoot lese ist, dass es eher Probleme schafft, die man ohne nicht hätte. Es gibt andere und bessere Wege um seine Daten auf dem Rechner zu schützen!
Secure Boot? Erlich gesagt, schon mit dem Begriff kann ich nicht all zu viel anfangen. Habe meinen Rechenknecht aus Einzelteilen (tech-Stand 2012) selbst gebaut. Und ja, UEFI-BIOS hat das ASUS-MOBO!
Ich meine, man kann es mit Shim umgehen.
Gibt es hier irgendwen, der tatsächlich seine Bootloader und Kernel signiert hat und die Schlüssel im UEFI eingespielt?
https://goo.gl/qTPkGh
Wer tut das? Was hindert die "Evil Maid" daran, dasselbe zu tun?
Wer sich die Mühe macht sein Secureboot sauber mit eigenen Zertifikaten einzurichten und diese Einrichtung dann im BIOS mit einem guten Passwort schützt kann zusammen mit LUKS sich durchaus eine kleine Festung zusammenstellen an der sich mit ziemlicher Sicherheit sogar die NSA die Zähne ausbeißen würde. Natürlich nur unter der Voraussetzung das der Computerhersteller bei der Produktion und Implementation nicht unabsichtlich/absichtlich etwas falsch gemacht hat.
Da bin ich mir nicht so sicher. Seit der Einführung der Intel Management Engine traue ich dem Ganzen nicht mehr.
Ja, ich hab das auf meinem Gentoo gemacht. Ist auch nicht so schwer wie es klingt, gibt gute Tutorials dazu. Das schwerste war in Grunde das Ebuild mit ner git Version der Efi-Tools zu erstellen, weil die Version in den Repositories noch nicht immer tut was sie soll. Hat man sich seine Sachen generiert, muss man nachdem man den Kernel gebaut hat nur den Befehlzum signieren ausführen, schon war es dass. Brauchtest nicht mal einen Grub oder Shim dazu, willst dem Kernel ne Option beim Starten mitgeben kannst du die Direkt in den Kernel mitbauen Klassen
Bei mir ist Secure Boot abgeschaltet, da ich Installationen meist aus einer Multiboot Umgebung (wie Yumi oder Multisystem) heraus installiere, die oft kein Secure Boot unterstützen. Für die meisten wird das ganze ohne Secure Boot auch reichen.
Zudem würde ich mir nie ein Gerät kaufen ohne die Möglichkeit Secure Boot auszuschalten, alleine um die Marktmacht Microsoft's nicht zu untermauern, während sich viele Linux-Distributionen keine Signierung leisten können (Kostet sowas eigentlich? Wenn nicht ist es trotzdem bestimmt ein Zeitaufwand)
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Mai 2016 um 13:11.Ja es kostet etwas eine EFI-App von Microsoft signieren zu lassen, wie viel genau weiß ich auch nicht doch Microsoft behauptet das sie damit lediglich die Umkosten abdecken wollen. Aber sie signieren nicht alles, beim Linux-Kernel weigern sie sich schlicht und auch bei Bootloadern welche nachträglich keine gültige Signierung mehr verlangen zicken sie gerne herum.