Vraag Eigen NVIDIA-stuurprogramma wordt niet geladen bij gebruik van shimx64 sinds xenial


Ik heb een vreemd gedrag na het upgraden van mijn pc van sluw naar xeniaal (beide Kubuntu-smaak). Voor en na de upgrade heb ik twee "ubuntu" opstartopties in mijn BIOS. Hier kunt u de waarden achter elk item onder xenial bekijken:

stephane@nausicaa:~$ sudo efibootmgr -v
BootCurrent: 0002
Timeout: 0 seconds
BootOrder: 0002,0000
Boot0000  ubuntu        HD(1,GPT,xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx,0x800,0x64000)/File(\EFI\ubuntu\shimx64.efi)
Boot0002* ubuntu        HD(1,GPT,xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx,0x800,0x64000)/File(EFI\Ubuntu\grubx64.efi)

Met sluwe gebruik ik shimx64 (eerste invoer) en de eigen driver van NVIDIA zonder problemen. Aangezien de upgrade naar xenial shimx64 (eerste invoer) het NVIDIA-stuurprogramma niet laadt. Ik moet in plaats daarvan grubx64 gebruiken (tweede invoer).

Wanneer ik grubx64 gebruik, vind ik de volgende vermeldingen voor "nvidia" of "NVRM" in het kernellogbestand:

nvidia: module license 'NVIDIA' taints kernel.
nvidia: module verification failed: signature and/or required key missing - tainting kernel
[drm] Initialized nvidia-drm 0.0.0 20150116 for 0000:01:00.0 on minor 0
NVRM: loading NVIDIA UNIX x86_64 Kernel Module  340.96  Sun Nov  8 22:33:28 PST 2015
nvidia_uvm: Loaded the UVM driver, major device number 245
NVRM: Your system is not currently configured to drive a VGA console
NVRM: on the primary VGA device. The NVIDIA Linux graphics driver
NVRM: requires the use of a text-mode VGA console. Use of other console
NVRM: drivers including, but not limited to, vesafb, may result in
NVRM: corruption and stability problems, and is not supported.

Wanneer ik shimx64 gebruik, is er geen vermelding voor "nvidia" of "NVRM" in het kernellogboek, zelfs geen foutmeldingen.

Vroeger geloofde ik dat shimx64 slechts een ondertekende kettinglader is voor grubx64, maar van de verschillen in het kernellog is het duidelijk niet zo eenvoudig. Heeft iemand een verklaring voor wat daar gebeurt? Zou het iets te maken kunnen hebben met de digitale handtekening van de stuurprogramma's?


1
2018-04-22 19:17


oorsprong


Mogelijk duplicaat van Waarom krijg ik "Vereiste sleutel niet beschikbaar" bij het installeren van DKMS-modules in Ubuntu 16.04? - Pilot6
Hallo Pilot6, niet echt. Het eigen videostuurprogramma van NVIDIA wordt correct geïnstalleerd zonder foutmelding. - Stéphane Tréboux
Het installeert OK, maar de module laadt niet zoals je ziet dmesg. - Pilot6
Ja, het probleem verschijnt later en alleen als ik shimx64 gebruik. - Stéphane Tréboux


antwoorden:


NVIDIA ondertekent zijn eigen videostuurprogramma niet. De Linux-kernel controleert altijd of er handtekeningen in kernelmodules zijn, zelfs als veilige opstart is uitgeschakeld. Wanneer ik grubx64 gebruik, kan ik dit bericht zien:

kernel: nvidia: module verification failed: signature and/or required key missing - tainting kernel

Dit is geen fout omdat beveiligd opstarten is uitgeschakeld; het eigen videostuurprogramma van NVIDIA werkt nog steeds. Het grappige is dat wanneer ik shimx64 gebruik dit bericht niet verschijnt. Het NVIDIA-stuurprogramma wordt overgeslagen door de kernel zonder bericht. Ik kan melden dat veilig opstarten is ingeschakeld vanwege dit bericht:

kernel: Secure boot enabled

4
2017-07-14 08:29



Ik heb net achtergrondinformatie voor mijn probleem gevonden: askubuntu.com/a/765601/402224 - Stéphane Tréboux
En trouwens, hier is hoe ik de opstartvolgorde in mijn UEFI heb geruild en het probleem "opgelost": sudo efibootmgr -o 1,0 - Stéphane Tréboux
lijkt me een kwetsbaarheid - lurscher
Eerlijk gezegd begrijp ik niet welk deel van veilig opstarten veilig is. Voor mij lijkt het meer op een zelfopgelegde kwaliteitscontrole voor bedrijfseigen besturingssystemen, voornamelijk Microsoft Windows. Als een aanvaller systeemwijzigingen kan uitvoeren (die root vereisen), zoals het installeren van een gecompromitteerde driver, kan hij net zo goed zijn eigen sleutels installeren en alles uitvoeren wat hij maar wil, of shim gebruiken die de besturing graag aan elke bootmanager geeft (zie mjg59.dreamwidth.org/20303.html). Veilig booten voorkomt niet dat uw computer gehackte software gebruikt, het vereist alleen dat de binaire bestanden worden ondertekend. - Stéphane Tréboux