Как исправить ошибку Secure Boot "Образ не удалось проверить с помощью *ACCESS DENIED*" при запуске?
Когда я сегодня утром запустил свой компьютер (у меня включена только Безопасная загрузка и UEFI), я получил эту ошибку (извините за низкое качество изображения):
Что это значит Image failed to verify with *ACCESS DENIED*? После того как я нажал OK Мне удалось войти в мой BIOS и отключить безопасную загрузку, а также настроить параметр UEFI only для принятия как UEFI, так и Legacy, это, похоже, помогло, и теперь оно загружается, однако я не могу установить его так, чтобы безопасная загрузка была снова, и это создает угрозу безопасности для меня, поэтому мне интересно, в чем здесь проблема? И почему я получил ошибку? Я имею в виду, есть ли ошибка что-то беспокоиться? И зачем это сделал *ACCESS DENIED* мне?
Единственное, что я могу подумать о том, что я мог сделать прошлой ночью, до того, как возникла эта проблема этим утром, это получить некоторые обновления безопасности для grub и некоторые другие вещи:
В общем, мне нужно знать, что означает ошибка, почему я ее получил и как исправить эту ситуацию. Я имею в виду, может ли эта ошибка означать, что я был скомпрометирован каким-то образом и должен сделать новую установку или что-то? Или это просто неисправность? И если так, как я могу это исправить, чтобы я мог снова использовать Secure Boot?
Я использую Ubuntu GNOME 15.10 с GNOME 3.18 на Lenovo B590.
Обновление информации:
Выход из команды efibootmgr является:
BootCurrent: 000E
Timeout: 0 seconds
BootOrder: 000E,0000,0001,0002,0003,000C,0006,0007,0008,0009,000A,000B,000D
Boot0000 Setup
Boot0001 Boot Menu
Boot0002 Diagnostic Splash Screen
Boot0003 Lenovo Diagnostics
Boot0004 Startup Interrupt Menu
Boot0005 Rescue and Recovery
Boot0006* USB CD
Boot0007* USB FDD
Boot0008* ATAPI CD1
Boot0009* ATA HDD0
Boot000A* ATA HDD1
Boot000B* ATA HDD2
Boot000C* USB HDD
Boot000D* PCI LAN
Boot000E* ubuntu
3 ответа
Пакеты GRUB были обновлены вчера (15 декабря 2015 г.): 2.02~beta2-29ubuntu0.2,
Возможно, во время обновления что-то пошло не так, но не должно быть проблем с безопасностью.
Измените настройки BIOS обратно в состояние, в котором вы установили Ubuntu.
Затем переустановите загрузчик GRUB в вашу установку Ubuntu в режиме EFI.
Загрузитесь с установочного носителя Ubuntu - откройте терминал и выполните:
sudo mount /dev/sd*** /mnt
sudo mount /dev/sd** /mnt/boot/efi
for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done
sudo chroot /mnt
grub-install /dev/sd*
update-grub
Замечания:
sd* = диск | sd** = EFI раздел | sd*** = системный раздел
Для определения номера диска и раздела вы можете использовать GParted.
Загрузитесь в BIOS и выберите Ubuntu в качестве операционной системы по умолчанию.
USN-Reference: Ubuntu Security Notice 2836-1: уязвимость GRUB.
В случае, если это не работает, вы можете попробовать инструмент восстановления загрузчика.
Загрузитесь с установочного носителя Ubuntu, откройте терминал и выполните:
sudo add-apt-repository ppa:yannubuntu/boot-repair
sudo apt-get update
sudo apt-get install -y boot-repair && boot-repair
Согласно https://bugs.launchpad.net/bugs/1528345 это было вызвано тем, что Ubuntu неправильно загружала обновления безопасности для grub, и это можно исправить, установив пакет grub-efi-amd64-подписанный, а затем снова включив безопасный загрузиться в биосе. Это сработало для меня. (Я также проверил, что переустановка пакета вызвала shimx64.efi чтобы показать на выходе efibootmgr -v вместо grubx64.efi, который был там, пока проблема присутствовала.)
Сначала вернитесь в свою прошивку и отключите поддержку CSM ("устаревшая загрузка"). Если вы загружались в среде с чистым EFI, как кажется, то этот вариант не принесет вам пользы и может вернуться к вам позже. (См. Мою страницу на предмете для получения дополнительной информации о проблемах CSM.)
Во-вторых, сообщение об ошибке указывает, что ваш компьютер попытался загрузить загрузчик, который не был подписан авторизованным ключом безопасной загрузки. (Некоторые сообщения, предупреждающие о таких нарушениях, довольно тупые - они варьируются от одного EFI к другому, а в некоторых случаях от одной последующей программы к другой, в зависимости от того, где произошло нарушение.) Такое сообщение появляется после компьютер успешно загружается, и без каких-либо изменений в ваших загрузочных программах или настройках прошивки, это большой красный флаг.
Я не видел упоминаний об обновлениях GRUB или Shim, поэтому эти обновления не должны были затронуть ваш процесс загрузки. OTOH, может быть, что-то еще изменило путь загрузки. Это может быть невинное изменение, которое пошло плохо и вызвало сбой - например, если вы выполняете тройную загрузку с другим дистрибутивом Linux, возможно, он изменил путь загрузки на неподписанный GRUB. Если это так, вы можете изменить порядок загрузки обратно на Ubuntu GRUB (через Shim) с помощью efibootmgr -- тип sudo efibootmgr -v чтобы увидеть текущий порядок загрузки (на BootOrder линия) и варианты (основная часть продукции). Найдите строку для Ubuntu, которая запускается через Shim, и используйте -o возможность изменить порядок так, чтобы он был первым, как в sudo efibootmgr -o 0009,0000,001B если желаемая запись Boot0009 и две альтернативы Boot0000 а также Boot001B, Другая возможность заключается в том, что несвязанное обновление Windows помешало работе GRUB. (У Microsoft есть возможность обновлять ключи безопасной загрузки большинства компьютеров, и если они по какой-то причине испортили это или внесли в черный список Ubuntu Shim, вы можете увидеть ошибку, которую вы описали.)
Существует небольшая вероятность того, что происходит что-то вредоносное - какая-то вредоносная программа могла быть установлена на вашем пути загрузки. Если это произошло, то, отключив безопасную загрузку, вы уже включили вредоносную программу. Невозможно сказать, какие могут быть последствия, если это так. Я не хочу вас тревожить; вероятность того, что это произошло, низкая. Однако, если это произошло, для восстановления вашего компьютера потребуется опытный TLC, поскольку предзагрузочная вредоносная программа, как известно, трудно вытащить.
Обновление конфигурации GRUB вряд ли принесет пользу, хотя есть небольшая вероятность, что это произойдет, если вы переключитесь с GRUB на загрузку неподписанной версии с подписанной версией ядра. (В последний раз я проверял, GRUB в Ubuntu будет загружать неподписанные ядра, но это может измениться в будущем. Некоторые другие GRUB, такие как Fedora, будут более строгими и будут загружать только подписанные ядра.)
Вы можете проверить ваш путь загрузки с помощью efibootmgr и убедитесь, что он загружается через Shim по умолчанию - то есть загрузчик для первого элемента в порядке загрузки должен быть EFI\ubuntu\shimx64.efi, Если это не так, то вы можете изменить порядок загрузки обратно. Если это так, то, возможно, ваш shimx64.efi Двоичный файл поврежден (или, что еще хуже, заменен вредоносным ПО). Полная переустановка GRUB может решить проблему. (Boot Repair может сделать это довольно легко.)