Seit Installation von Leap 15.4 kann ich Tumbleweed nicht mehr booten

Hinweis: In dem Thema Seit Installation von Leap 15.4 kann ich Tumbleweed nicht mehr booten gibt es 14 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hallo zusammen,

    vor gut einer Woche hatte ich versuchsweise openSUSE als drittes OS (neben Windows 11 und Fedora) ausprobiert. In Tumbleweed ergab sich dabei ein Problem mit zypper dup, dass mich dazu veranlasste, es mit Leap 15.4 zu probieren. Gesagt getan, ich hatte also Leap installiert. Zuerst in der KDE-Version, da lief gleich mal frisch installierte Software nicht (Zim Desktop Wiki). Dann habe ich es mit der Gnome-Variante probiert. Die lief einmal, dabei habe ich beim Update, welches ich nach einer Installation für gewöhnlich durchführe, eventuell auch ein Update des Bootmanagers Shim eingespielt, darauf hatte ich nicht geachtet. Jedenfalls: nach dem ersten Neustart bootete diese Installation zwar noch, aber nur noch bis zur Anmeldemaske, dann stürzte sie ab. In der Zwischenzeit hatte mir hier im Forum ein User angeboten, mir bei meinem Tumbleweed-Problem behilflich zu sein. Also wollte ich jetzt wieder Tumbleweed installieren. Die älteste ISO, die ich dabei ausprobiert hatte, war vom 8. Mai, die neueste vom 19. Mai. Egal mit welcher Version, ich laufe immer in das gleiche Problem: die Signatur des Shim-Bootloaders wird vom BIOS als ungültig abgewiesen. Das ist die exakte Meldung:

    Code
    Verifying shimSBAT data failed: Security Policy Violation
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation

    Das Problem scheint nicht ganz neu zu sein, siehe dazu dieser Link:
    The latest shim from Leap 15.4 disallows shim from Tumbleweed and possibly other distributions


    Es ist mir klar, dass Deaktivierung der Secureboot-Option im BIOS das Problem beheben würde. Das kommt aber auf unserem System nicht infrage. Meine Frage ist nun einfach die: wenn ich das richtig verstanden habe, dann ist derzeit die Version von Shim in Tumbleweed etwas älter als die in Leap (und Leap hat beim Update im BIOS irgendwie ältere Versionen von Shim für unsicher erklärt)? Kann man irgendwie abschätzen, wie lange es dauern wird, bis auch Tumbleweed eine Shim-Version bekommt, mit der ich es dann wieder booten kann?
    Oder alternativ: was könnte ich sonst tun, um das Problem abzustellen?


    PS: ob auch die Bootloader anderer Distributionen betroffen sind, habe ich nicht wirklich probiert, mit einer Ausnahme: mein Fedora 38 bootet klaglos, ebenso der zugehörige Installations-Stick aus dem April diesen Jahres.

    Beste Grüße, Diophant

    Für den Inhalt des Beitrages 306135 haftet ausdrücklich der jeweilige Autor: Diophant

    Hi, ich weiß jetzt nicht ganz genau, ob das unter Suse funktioniert - aber eigentlich solltest du auch ohne Grub installieren können und dann Tumbleweed über das Grub-Menü von Fedora starten → so weit mal die Theorie.


    Dazu vorneweg die Frage, wie ist die Systempartition von Fedora formatiert - ext4 oder btrfs oder noch was ganz was anderes? Ich hab Installationen ohne Bootloader bisher nur unter ext4 funktionierend zum Laufen gebracht und das war mit Debian als Hauptsystem.


    Eine weitere Möglichkeit wäre, du schaltest Secureboot aus, installierst, gehst ebenfalls ins Fedora, dort die "grub2.cfg" neu einlesen lassen - wenn TW dort auftaucht, dann gut und du kannst Secureboot einschalten und dann mal versuchen, bei eingeschaltetem Secureboot über das Grüb-menü von Fedora zu starten.


    Aber bevor du da jetzt irgend was anfängst, zeig lieber mal ein paar Infos zu deiner Maschine, kannste auch aus Fedora heraus machen und hier im Codeblock einstellen - beide Abfragen als root eingeben

    Code
    parted --list

inxi -Fz

    dann bekommen wir mal einen kleinen Überblick über das System und die Partitionierung.


    lg Feli

    Für den Inhalt des Beitrages 306144 haftet ausdrücklich der jeweilige Autor: Feli

    Hallo Feli,

    das ist jetzt in kleines Missverständnis. Ich bin nicht an irgendwelchen provisorischen Lösungne interessiert, welche eines der beiden anderen Betriebssyteme betreffen. Wenn es nur so geht, dann lasse ich es bleiben. Das hätte ich oben dazuschreiben sollen, sorry. Trotzdem vielen Dank für deine Antwort.

    Was die Betriebssysteme angeht: da hat jedes seine eigene Festplatte. Fedora hat eine eigene EFI-Partition, System und Daten liegen jeweils auf Ext4-Partitionen auf der gleichen Platte (also eine Partition ist bei '/' eingehängt, die zweite bei '/home'). Dann gibt es noch eine kleine Swap-Partition. Aber das hat wie gesagt mit dem Problem hier nichts zu tun. openSUSE ist derzeit nicht installiert, da ich die Leap-Installation aus Windows heraus per diskpart gelöscht hatte und jetzt ja keine Chance mehr habe, Tumbleweed zu installieren. Ich kann ja noch nicht einmal den Installations-Stick booten.

    Also wenn sich jemand mit diesen PK-Schlüsseln im UEFI besser auskennt als ich und eine Möglichkeit sieht, wie man diesen unsäglichen Eintrag von Leap wieder loswerden kann: das wäre eine Info, an der ich interessiert wäre. Oder wenn bekannt wäre, wann der Shim-Bootloader von Tumbleweed einen Stand erreicht, so dass er von dem von Leap hinterlassenen Eintrag im UEFI nicht mehr abgeleht wird.
    Beste Grüße, Diophant

    Für den Inhalt des Beitrages 306148 haftet ausdrücklich der jeweilige Autor: Diophant

    Also ich hab keinerlei Probleme mit Secureboot - aber mal ne andere Frage → lässt sich dein Installationsstick an nem anderen Rechner starten? Kannst du da einen Fehler ausschließen?


    Nebenbei, verwertbare Informationen in Form der angefragten Terminalabfragen lieferst du ja nicht - somit muss man spekulieren → kann es an deinem UEFI liegen? Ist das aktuell?


    Also ich habe erst vor kurzem unter Tumbleweed via fwupd das UEFI aktualisiert und wie bereits erwähnt, von Problemen mit Secureboot ist hier weit und breit nichts zu sehen (Tripleboot mit Debian, Windows und Tumbleweed)

    Für den Inhalt des Beitrages 306150 haftet ausdrücklich der jeweilige Autor: Feli

    Hallo Feli,

    ich habe doch einen Link zur Problembeschreibung im Themenstart eingefügt, hast du den durchgelesen? Es macht keinen Sinn, das an einem anderen Rechner zu probieren, denn dort wird es funktionieren. Es hat ja bei mir auch funktioniert, bevor ich Leap installiert hatte. Da Problem wird wie in dem Link beschrieben von Leap verursacht, offensichtlich aber nicht auf jeder Hardware. Was mein BIOS angeht: ja, das ist insofern aktuell, als die neueste Version aufgespielt ist. Das Mainboard ist allerdings aus 2018 und das neueste BIOS, das es vom Hersteller gibt, demzufolge aus 2021.

    Was du unter 'UEFI aktualisieren meinst', ist das Einspielen einer neueren UEFI.dbx-Datei? Ein solches Update gab es vor ein paar Wochen in Fedora auch. Aber auch das hat mit dem hier geschilderten Problem wohl auch nichts zu tun.
    Gruß, Diophant

    Für den Inhalt des Beitrages 306151 haftet ausdrücklich der jeweilige Autor: Diophant

    Hi,

    also nix mit Suse - sie mag dich nicht. :/


    Dann versuch doch ein anderes Linux → Debian ist auch was feines. :S


    Gruß, Feli

    Für den Inhalt des Beitrages 306152 haftet ausdrücklich der jeweilige Autor: Feli

    Ich hatte (allerdings unter openSUSE Leap 15.4 und ohne Multiboot) ebenfalls dieses Problem.

    Geholfen hat:


    In dieser einen Sekunde, wenn der Fehler zu sehen ist (sbat...), sofort STRG+ALT+ENTF und Rechner startet neu.

    Dann mit F-Taste das Boot-Menü aufrufen.

    Wenn*** dort was von opensuse-secureboot steht, dieses dann mit ENTER

    wählen und das OS startet.


    Ist der Rechner hochgefahren, Root werden mit "su -" und...

    Code
    mokutil --set-sbat-policy delete

    ...ausführen.

    Danach einfach neu starten, abwarten (Mokmanager herunterzählen lassen)


    ***

    Sollte im Boot-Menü nichts von opensuse-secureboot stehen, dann ins Bios, SecureBoot ausschalten und speichern.

    Rechner fährt nun hoch.


    Danach wieder:

    Root werden mit "su -"

    Code
    mokutil --set-sbat-policy delete

    Neustart - direkt ins Bios und SecureBoot wieder einschalten (Mokmanager nicht ändern)

    Speichern und testen...

    Für den Inhalt des Beitrages 306153 haftet ausdrücklich der jeweilige Autor: sterun

    Zitat von Feli

    Dann versuch doch ein anderes Linux → Debian ist auch was feines.

    Dann aber bitte bis Juni warten. Da kommt Bookworm an den Start.

    Hallo sterun,

    vermutlich hast du überlesen, dass auf unserem PC momentan keine openSUSE-Installation mehr existiert?
    Könntest du mir davon unabhängig ein wenig erläutern, was genau passiert, wenn ich die sbat-policy lösche? Könnte ich das theoretisch von meiner Fedora-Installation aus machen? Wie genau wirkt sich das aus? Kann ich danach insbesondere Fedora weiterhin mit eingeschaltetem Secure-Boot starten?

    Das wären so meine wesentlichen Fragen zu der von dir vorgeschlagenen Vorgehensweise.

    Jedenfalls vielen Dank für deinen Beitrag!

    Beste Grüße, Diophant

    Für den Inhalt des Beitrages 306172 haftet ausdrücklich der jeweilige Autor: Diophant

    Hier einmal eine Erklärung dazu

    SBAT Revocations: Boot Process
    Since November 2022, several Linux distributions, including Ubuntu 22.04.2 and 20.04.6, have upgraded to shim 15.7, which provides a critical security update…
    discourse.ubuntu.com


    Wen es interessiert ... hier mal etwas weiter ausgeholt ...

    UEFI-Secure-Boot und Linux » ADMIN-Magazin
    Ist es ein nützliches Sicherheitsfeature oder ein Mechanismus, um freie Betriebssysteme auszubremsen? An UEFI-Secure-Boot scheiden sich die Geister...
    www.admin-magazin.de