Einschränkungen durch Secure Boot bei Fedora deaktivierbar

Durch Deaktivieren der Prüfungen im Boot-Loader Shim lassen sich bei Fedora 18 alle Restriktionen vermeiden, die Secure Boot sonst im Betrieb nach sich zieht.

In Pocket speichern vorlesen Druckansicht 149 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Thorsten Leemhuis

Das Deaktivieren der Prüfung durch Shim lässt sich aus Fedora heraus anstoßen.

Die neuesten Fedora-18-Kernel deaktivieren alle durch die Secure-Boot-Unterstützung bedingten Beschränkungen, sofern der Anwender die Sicherheitsüberprüfung im Secure-Boot-Loader Shim deaktiviert hat. Damit gibt es nun auch unter Fedora eine recht einfache und auf allen Systemen gleich umsetzbare Möglichkeit, alle durch Secure Boot bedingten Einschränkungen loszuwerden, ohne Secure Boot im Setup der UEFI-Firmware zu deaktivieren.

Schon im Auslieferungszustand des Mitte Januar vorgestellten Fedora 18 lässt sich die Überprüfungen von Grub- und Kernel-Binaries durch den Aufruf von "mokutil --disable-verification" deaktivieren. Beim nächsten Systemstart lässt sich Shim diese Anweisung durch Eingabe eines Einmailpasswort bestätigen; anschließend startet der nachgeschaltete Boot-Loader Grub auch bei aktivem Secure Boot beliebige Linux-Kernel. Ohne diesen ursprünglich für Entwickler gedachten Trick startet Shim nur Grub- und Kernel-Binaries, die es als vertrauenswürdig einstuft – letztlich im Auslieferungszustand von Fedora 18 nur jene des Fedora-Projekts, die Grub an einer Fedora-Signatur erkennt.

Nach der Aufforderung zum Deaktivieren zeigt sich Shim beim nächsten Systemstart.

Der Anwender muss das Deaktivieren der Prüfungen mit dem zuvor gewählten Einmalpasswort bestätigen.

Selbst wenn die Prüfung der Grub- und Kernel-Binaries in Shim deaktiviert war, mussten sich Anwender bei den Fedora-eigenen Kernel-Binaries aber bislang mit einigen Einschränkungen arrangieren, die Fedoras Secure-Boot-Implementation mit sich bringt. So ließen sich nur Module laden, die eine Fedora-Signatur aufweisen; auch der Ruhezustand (Suspend-to-Disk/Software-Suspend), Kexec/Kdump und die Kernel-Überwachung mit Systemtap oder Kprobes arbeiten nicht. Die beiden neuesten Kernel-Updates für Fedora 18 enthalten jedoch Code, um alle bei Fedora normalerweise mit Secure Boot einhergehenden Einschränkungen zu deaktivieren, sofern die Prüfung in Shim deaktiviert wurde. Dadurch lassen sich dann auch selbstkompilierte oder von Paketdepots wie RPM Fusion angebotene Kernel-Module laden, wenn Secure Boot aktiv ist – darunter auch die Kernel-Module der proprietären Grafiktreiber von AMD und Nvidia.

Zu Hintergründe und Unterschieden der Secure-Boot-Implementationen von Fedora 18 und Ubuntu 12.10 siehe auch:

(thl)