Trust openSUSE certificate - Laptop bootet nicht mehr

Hinweis: In dem Thema Trust openSUSE certificate - Laptop bootet nicht mehr gibt es 5 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo zusammen,
    ich (bzw. eigentlich meine Mutter) haben folgendes Problem:
    Wir haben einen Laptop, Acer Aspire E17 (E5-772G566B), mit openSUSE 42.1
    (wir haben 42.1 und Cinnamon installiert und immer Updates eingespielt,
    ob der PC dadurch zu 42.2 geupdated wurde weiß ich nicht).


    Heute kam beim Booten des Laptops die Frage:

    Code
    Trust openSUSE Certificate
    Do you agree to use the built-in openSUSE certificate to verify boot loaders and kernels?

    (weiß auf blau, also so ein BIOS/UEFI-Bildschirm)
    Nachdem sie No ausgewählt hat, zeigte der Laptop "No Bootable Device".
    Seitdem führt ein Start des Laptops nur auf diesen Bildschirm.


    Auch wenn man einen bootbaren USB-Stick einsteckt ändert das nichts (kann auch sein,
    dass der Stick falsch war, das teste ich mal wenn ich da bin) und wenn man versucht,
    mit F2 ins BIOS/UEFI zu kommen wird ein Passwort abgefragt, aber wir haben nie ein
    BIOS/UEFI Passwort gesetzt (nur Enter funktioniert nicht). Der PC wurde damals mit Win10
    ausgeliefert, ich habe openSUSE installiert. In den Unterlagen fand sich kein
    Hinweis auf ein BIOS/UEFI-Passwort.


    Hat jemand eine Idee wie wir hier weiterkommen?
    Wenn es weiterhilft kann Fotos von den jeweiligen Meldungen
    anhängen. Ich fahre übermorgen nach Hause und kann
    an den Laptop, aber habe noch keine Idee...

    Für den Inhalt des Beitrages 106236 haftet ausdrücklich der jeweilige Autor: Stefan44

  • Das war die einzig möglich garantiert falsche Antwort.


    Ein (U)EFI System zeichnet sich gerade dadurch aus, dass es eben nur Betriebssysteme startet, die einen gültig signierten Bootloader/OS-Loader haben.
    Alles andere wird unterbunden.


    Du wirst im BIOS des PCs den SecureBoot ausschalten müssen, um überhaupt etwas zu erreichen zu können.
    Und du musst da reinkommen.
    Suche auf der Website des Boardherstellers mit der genauen Boardbezeichnung nach Standardspasswörter oder Standardprocederes für solche Fälle.
    Good luck.


    Und von einfach so kommt das nicht.
    Da hat jemand dran rumgefummelt.


    Es mag noch die sehr geringe Chance geben, dass Wechselmedien mit gültig signiertem Bootcode geladen werden können.
    Aber auch das kann nur die Doku des Boardherstellers sagen.


    Die Keys von openSUSE sollte man immer akzeptieren.


    Kommst du so nicht weiter, wird es übel.
    Dann ist Hardwareschrauberei angesagt.


    Wie sagte jemand so treffend:
    A bricked device is sick as a brick.

  • Vielen Dank für die schnelle Antwort!


    Ich habe die Seriennummer auf der Acer Website eingegeben, da finde ich allerdings sowas wie Standardpasswörter nicht,
    auch im Handbuch ist nur das Setzen des Passworts erklärt.
    Kann das Passwort von Windows 10 (irgendwelche Secure... Sachen, meine Mutter hat das Laptop eine Zeitlang unter Windows benutzt) oder openSUSE gesetzt werden oder geht das nur im BIOS?


    Ich werde mal den Acer Support anschreiben, vielleicht können die mir mit dem Passwort weiterhelfen.


    Das war die einzig möglich garantiert falsche Antwort.
    [...]
    Die Keys von openSUSE sollte man immer akzeptieren.

    Hier ist halt das Problem, dass ich nie eine solche Situation hatte oder kenne und meine Mutter nach der Richtlinie, alles was sie nicht kennt erstmal abzulehnen, handelt (was ja bei Windows oder im Internet durchaus Sinn macht) :/
    Ich glaube auch nicht, dass da jemand "rumgefummelt" hat, meine Mutter wüsste ja nichtmal, wie sie ins BIOS kommt, und von Zertifikaten hab ich genauso wenig Ahnung :(



    EDIT: Nach dreimaligem falsch eingeben bekommt man einen Code, mit dem kann man dann hier BIOS Master Password Generator for Laptops ein Passwort bekommen um ins BIOS zu kommen.
    Was sollte ich im BIOS jetzt am besten machen (außer erstmal alle Passwörter auf was bekanntest setzen) um das Problem zu beheben?
    Macht es Sinn, Secure Boot auszuschalten, um zukünftige Probleme zu beheben?

    3 Mal editiert, zuletzt von Stefan44 ()

    Für den Inhalt des Beitrages 106240 haftet ausdrücklich der jeweilige Autor: Stefan44

  • Secure Boot solltest du nicht ausschalten.
    openSUSE kann damit ganz gut.


    Und normalerweise gibt es da auch keinen Ärger.


    Was ich komisch finde, dass Acer da überhaupt ein Spasswort setzt.
    Gucke, ob du das selbst setzen kannst.
    Dann auf jeden Fall selbst eines setzen und gut merken (Zettel im Tresor).


    Auf Ausschalten der Spasswortfunktion, wenn das denn geht, würde mich nicht verlassen.
    Ich kenne weder die Hardware, noch das BIOS dieser Kiste.
    Aber das geschilderte Vorgehen bei Spasswortrücksetzung riecht verdächtig nach ManagementKonsole.
    (Eine eingebaute Backdoor, die eigentlich Admins befähigen soll Maschinen via Netzwerk bis hinab hin die BIOS Ebene komplett zu verwalten).


    Wenn die Checksumme für openSUSE einmal drin ist, sollte das Ding jederzeit mit openSUSE laufen und ggf. Updates/Upgrades kümmern sich auch um die Aktualisierung der Summen, wenn Neues draufgebügelt wird.

  • Hallo,
    das hört sich nicht toll an, ich hab in der Zwischenzeit mit meiner Mutter telefoniert und wir haben im UEFI das Menu benutzt um eine EFI Datei also trusted auszuwählen, wir haben mal "shim.efi" und die anderen .efi Dateien (im opensuse Verzeichnis) ausprobiert und zusätzlich erstmal secure boot disabled (wer weiß ob ich beim nächsten mal wieder ins UEFI menu komme).
    Jetzt startet wer PC wieder, ich kann am Anfang aus einer Art boot-menu (vermutlich das UEFI-Boot menu) zwischen den 4 ausgewählten .efi-Dateien wählen (shim, mokmanager, grub, grubx64), wenn man shim auswählt bootet openSUSE wieder, deswegen haben wir mal nichts weiter gemacht.
    (Ist sicherheitstechnisch sicherlich ungünstig, aber sie kann das laptop wieder benutzen.)


    Im UEFI/BIOS sieht man unter Security, dass Supervisor-Password gesetzt "set" ist, die anderen beiden Passwörter (User und HDD) sind "clear".
    Allerdings soll man zum ändern das aktuelle Passwort eingeben, dass wir nicht haben, auch die Passwortabfrage lässt sich nicht abschalten (es gibt nur die option passwort bei boot abzugfragen, die haben wir natürlich aus gelassen).


    Die Verwaltung von Zertifikaten oder Schlüssel für Secure Boot ist mir nicht ganz geheuer, aber wenn man das ganze sowieso durch 3maliges eingeben eines falschen Passworts umgehen kann, kann ich es doch auch ganz ausschalten.


    Wie stelle ich den Boot denn jetzt wieder richtig ein, sodass openSUSE direkt beim Start des PCs gebootet wird (aktuell kommt da erst ein 10s Fenster mit "Press any key to perform MOK management" und dann die Auswahl zwischen den 4 genannten efi-dateien)?

    Für den Inhalt des Beitrages 106247 haftet ausdrücklich der jeweilige Autor: Stefan44

  • Nahezu alle Linux Distris verwenden das shim.efi. Sezte das als Default und vergiss den ganzen Rest.


    Heutzutage kauft man sich halt keine Hardware mehr.
    Man kauft sich ein wenig Wohlwollen des Herstellers, sie gnädigerweise verwenden zu dürfen.
    Bis sie nicht mehr wollen.