Безопасность устройства

[V.Melnik]

Всем доброго времени суток
Обновил Ubuntu с 22.04 до 24.04.1 и полез в раздел "Безопасность устройства", где оказалось, что:
1. Linux Kernel Lockdown:  ! Fail
2. Linux Kernel Verification ! Fail
3. UEFI Secure Boot  ! Fail

UEFI Secure Boot включил через UEFI, но в разделе безопасность все равно UEFI Secure Boot  ! Fail
Почему так?
Как это исправить?

О блокировке Linux Kernel начал с адреса указанного в отчете https://fwupd.github.io/hsi.html, затем дошел по ссылкам к их же ВиКи, где предложено изменить файл attribute /sys/kernel/security/lockdown, а именно:

Linux Kernel Lockdown: Not locked down
The running Linux kernel supports lockdown but it is disabled. To modify lockdown either modify the sysfs attribute /sys/kernel/security/lockdown or set it on the kernel command line.

Но мой attribute /sys/kernel/security/lockdown имеет такое содержимое:

Код: [Выделить]

[none] integrity confidentialityи все.
Поэтому, как изменить атрибут sysfs, которого в файле нет, я так и не понял, тем более (учитывая первые шаги в изучении Ubuntu) не знаю, как установить его в командной строке ядра.

По Linux Kernel Verification совсем не понятно.
Почему:

Код: [Выделить]

2024-08-30 09:00:11 Linux Kernel Verification Передать (Испорчено → Не испорчено)
2024-08-14 18:44:16 Linux Kernel Verification! Не пройдено (Не испорчено → Испорчено)Да, обновление до 24.04 было как раз 2024-08-30
Ubuntu ведет лог верификаций?
На сейчас, точнее состоянием на 2024-08-30 стоит беспокоиться, или после обновления все исправилось?

Всем спасибо за помощь 

[jurganov]

Да, пожалуйста!!
Зачем обновлял?
Уж сколь раз твердили миру, что установка ОС через обновление приводит к глюкам, а воз и ныне там.
Тема на теме тут, как при установке обновлением ничего не работает, а люди наступают и наступают на теже грабли!
Получите новые впечатления, укоротите ручку грабель вполовину!

[V.Melnik]

Зачем обновлял?

Наверно затем, что пришло обновление.
Вы хотите сказать, что это ошибки не с моего компьютера, то есть лог тэстровой машины?
Если это лог не с моего компа, а експортированный при обновлении, почему нет всеобщей паники?

[ntfs3]

Зачем обновлял?

Ну, так как бэ написано: Ubuntu. Про неё никто не подумает, что это Виндоус

[V.Melnik]

Про неё никто не подумает, что это Виндоус

Как вы написали: как бэ, потому и переходу, что не Windows
Кроме того, тоже как бэ, с каждого утюга вещали, что в Убунку самая активная поддержка (форумы, много пользователей), но, получается просто как бэ
Ладно, не будем судить по одному посту.

По-сути вопроса, есть какие-то мысли, кроме общефилософских?

[bezbo]

Код: [Выделить]

uname -a?

[jurganov]

Ладно, не будем судить по одному посту.

а вот о тебе можно судить.
Хоть кол на голове теши
Пользователь добавил сообщение 03 Сентября 2024, 19:49:17:

Ну, так как бэ написано: Ubuntu. Про неё никто не подумает, что это Виндоус

ты думаешь,что что то умное написал?
тоже поди обновляешь Ubuntu до следующего релиза, а потом ходишь ноешь, почему ничего не работает?

[V.Melnik]

а вот о тебе можно судить.
Хоть кол на голове теши

Я так понимаю элементарным правилам общения не все обучены?

По-сути вопроса есть что-то полезное ответить? Или нимб на корону сильно давит?
Пользователь добавил сообщение 03 Сентября 2024, 20:37:00:bezbo,
Linux XXX 6.8.0-41-generic #41-Ubuntu SMP PREEMPT_DYNAMIC Fri Aug  2 20:41:06 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux

[bezbo]

Код: [Выделить]

sudo dmesg | egrep -i kernel?

EFI Secure Boot mode включен?

[V.Melnik]

EFI Secure Boot mode включен?

Через бис включён, но Ubuntu пишет что нет.
Это кстати один из трёх вопросов в стартовом топике.
Пользователь добавил сообщение 03 Сентября 2024, 22:27:39:

sudo dmesg | egrep -i kernel

?

(Нажмите, чтобы показать/скрыть)

[    0.000000] KERNEL supported cpus:
[    0.000000] x86/split lock detection: #AC: crashing the kernel on kernel split_locks and warning on user-space split_locks
[    0.065203] Booting paravirtualized kernel on bare hardware
[    0.066121] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-6.8.0-41-generic root=UUID=ХХХ ПРАВКА ro quiet splash vt.handoff=7
[    0.066162] Unknown kernel command line parameters "splash BOOT_IMAGE=/boot/vmlinuz-6.8.0-41-generic", will be passed to user space.
[    0.111421] Memory: 15674316K/16386012K available (22528K kernel code, 4441K rwdata, 14308K rodata, 4972K init, 4736K bss, 711436K reserved, 0K cma-reserved)
[    0.152959] DMA: preallocated 2048 KiB GFP_KERNEL pool for atomic allocations
[    0.153112] DMA: preallocated 2048 KiB GFP_KERNEL|GFP_DMA pool for atomic allocations
[    0.153304] DMA: preallocated 2048 KiB GFP_KERNEL|GFP_DMA32 pool for atomic allocations
[    1.214812] Loaded X.509 cert 'Build time autogenerated kernel key: XXX'  ПРАВКА
[    1.215802] Loaded X.509 cert 'Canonical Ltd. Kernel Module Signing: XXX' ПРАВКА
[    1.232942] Loaded X.509 cert 'Build time autogenerated kernel key: XXX' ПРАВКА
[    1.264094] Freeing unused kernel image (initmem) memory: 4972K
[    1.264096] Write protecting the kernel read-only data: 36864k
[    1.264696] Freeing unused kernel image (rodata/data gap) memory: 28K
[    2.632689] systemd[1]: Listening on systemd-udevd-kernel.socket - udev Kernel Socket.
[    2.634946] systemd[1]: Mounting sys-kernel-debug.mount - Kernel Debug File System...
[    2.635941] systemd[1]: Mounting sys-kernel-tracing.mount - Kernel Trace File System...
[    2.640626] systemd[1]: Starting modprobe@configfs.service - Load Kernel Module configfs...
[    2.641516] systemd[1]: Starting modprobe@dm_mod.service - Load Kernel Module dm_mod...
[    2.642393] systemd[1]: Starting modprobe@drm.service - Load Kernel Module drm...
[    2.643360] systemd[1]: Starting modprobe@efi_pstore.service - Load Kernel Module efi_pstore...
[    2.644417] systemd[1]: Starting modprobe@fuse.service - Load Kernel Module fuse...
[    2.645456] systemd[1]: Starting modprobe@loop.service - Load Kernel Module loop...
[    2.647061] systemd[1]: Starting systemd-modules-load.service - Load Kernel Modules...
[    2.648150] systemd[1]: Starting systemd-remount-fs.service - Remount Root and Kernel File Systems...
[    2.651472] systemd[1]: Mounted sys-kernel-debug.mount - Kernel Debug File System.
[    2.651613] systemd[1]: Mounted sys-kernel-tracing.mount - Kernel Trace File System.
[    2.652800] systemd[1]: Finished modprobe@configfs.service - Load Kernel Module configfs.
[    2.653379] systemd[1]: Finished modprobe@dm_mod.service - Load Kernel Module dm_mod.
[    2.653871] systemd[1]: Finished modprobe@drm.service - Load Kernel Module drm.
[    2.654401] systemd[1]: Finished modprobe@fuse.service - Load Kernel Module fuse.
[    2.654959] systemd[1]: Finished modprobe@loop.service - Load Kernel Module loop.
[    2.657274] systemd[1]: Mounting sys-kernel-config.mount - Kernel Configuration File System...
[    2.664201] systemd[1]: Mounted sys-kernel-config.mount - Kernel Configuration File System.
[    2.671754] systemd[1]: Finished systemd-remount-fs.service - Remount Root and Kernel File Systems.
[    2.674810] systemd[1]: Finished modprobe@efi_pstore.service - Load Kernel Module efi_pstore.
[    2.679286] systemd[1]: Finished systemd-modules-load.service - Load Kernel Modules.
[    2.680359] systemd[1]: Starting systemd-sysctl.service - Apply Kernel Variables...
[    2.689161] systemd[1]: Finished systemd-sysctl.service - Apply Kernel Variables.
[    5.078204] sof-audio-pci-intel-tgl 0000:00:1f.3: Firmware: ABI 3:22:1 Kernel ABI 3:23:0
[    5.192509] sof-audio-pci-intel-tgl 0000:00:1f.3: Firmware: ABI 3:22:1 Kernel ABI 3:23:0
[    5.301935] sof-audio-pci-intel-tgl 0000:00:1f.3: Topology: ABI 3:22:1 Kernel ABI 3:23:0

[jurganov]

Я так понимаю элементарным правилам общения не все обучены?

По-сути вопроса есть что-то полезное ответить? Или нимб на корону сильно давит?

основные правила общения - показывать неграмотным их элементарную неграмотность, а нехотящих воспринимать данную им информацию заставалять воспринимать, и пресекать их хамство на корню.
Вот это вот иначе как хамство не воспринимаю

Наверно затем, что пришло обновление.

[ALiEN]

раздел "Безопасность устройства", где оказалось, что:
1. Linux Kernel Lockdown:  ! Fail
2. Linux Kernel Verification ! Fail
3. UEFI Secure Boot  ! Fail

Вопросы:
1. А это где такая утилита? (У меня Xubuntu 24.04 - что-то я не нашел такое чудо)
2. Оно вам надо?

[V.Melnik]

1. А это где такая утилита? (У меня Xubuntu 24.04 - что-то я не нашел такое чудо)

Не знаю как в Xubuntu, но в Ubuntu, это самый нижний пункт настроек, если я не ошибаюсь "О системе", а уже в окне, которое откроется, тоже нижний пункт.
Хотя, как вариант, визуалка (GUI) которая выводит окно состояния безопасности, в Х может быть обрезано для облегчения.
Пользователь добавил сообщение 04 Сентября 2024, 23:19:51:

2. Оно вам надо?

да кто его знает, надо или нет.
Вот нашел и пытаюсь разобраться.

[F12]

это самый нижний пункт настроек, если я не ошибаюсь "О системе", а уже в окне, которое откроется, тоже нижний пункт.

- правда у меня Ubuntu 24.04 установлена только в виртуалку, но всё равно что-то я там не вижу раздела "Безопасность устройства"

(Нажмите, чтобы показать/скрыть)

[V.Melnik]

Извините, ошибся.
Для открытия пункта "Безопасность устройства" нужно зайти в настройки/параметры и не последний, а предпоследний пункт - "Конфиденциальность и безопасность", а там уже "Безопасность устройства".