Forum Linux.debian/ubuntu UEFI : shim-signed ou shim tout court ???

Posté par  . Licence CC By‑SA.
Étiquettes :
0
27
jan.
2018

Bonjour,

Ma version d'Ubuntu est la 16.04 avec le dépôt "proposed" activé. Du coup j'ai plein de mises à jour en avance sur les mises à jour normales. C'est bien ce que je veux. En général tout se passe sans problème ou du moins je sais gérer quand un nouveau noyau est foireux comme c'est arrivé 2 ou 3 fois depuis le 1er janvier à cause de Meltdown et Spectre.

Cependant depuis 3 ou 4 jours j'ai une mise à jour de Grub2 qui est bloquée parce que cette mise à jour contient une mise à jour du paquet shim (lié au Secure Boot) et Synaptic me dit qu'il faut désinstaller le paquet shim-signed pour pouvoir installer cette nouvelle version de shim. Comme il s'agit d'un chargeur de démarrage (bootloader) j'ai comme un doute et j'aimerais avoir confirmation que je peux accepter cette désinstallation de shim-signed sans risquer de ne plus pouvoir démarrer mon ordinateur.

La machine est un Zenbook Asus sur lequel Ubuntu 16.04 est installé en mode EFI et qui fonctionne parfaitement à mon goût. Il n'y a plus de MS-Windows sur cette machine.

Est-ce qu'il y a quelqu'un qui comprend bien ce que sont et font ces paquets shim et shim-signed et qui peut me dire si je dois accepter ou non la désinstallation de shim-signed ? J'aimerais autant savoir ce que je fais avant de me lancer dans la mise à jour.

Merci pour l'aide apportée.

  • # UEFI / Secure Boot ?

    Posté par  (site web personnel) . Évalué à 1.

    La machine est un Zenbook Asus sur lequel Ubuntu 16.04 est installé en mode EFI […]

    Ceci ne permet pas de savoir si Secure Boot est activé.

    Pour info, description des paquets shim et shim-signed :

    • shim : boot loader to chain-load signed boot loaders under Secure Boot
    • shim-signed : Secure Boot chain-loading bootloader (Microsoft-signed binary)

    Si Secure Boot est activé, j'ai du mal à voir comment ça pourrait booter sans shim-signed.

    Quant aux paquets dans xenial-updates, étant donné que shim-signed (1.32~16.04.1+0.9+1474479173.6c180c6-1ubuntu1) dépend de shim (= 0.9+1474479173.6c180c6-1ubuntu1) (dixit packages.ubuntu.com), j'imagine qu'il faut mettre à jour les deux en même temps. Et peut-être que synaptic se mélange les pinceaux et n'arrive pas à trouver ça tout seul ?

    Debian Consultant @ DEBAMAX

    • [^] # Re: UEFI / Secure Boot ?

      Posté par  . Évalué à 1.

      La mise à jour concerne :
      - grub-common
      - grub-efi-amd64
      - grub-efi-amd64-bin
      - grub-efi-amd64-signed
      - grub2-common
      - shim

      Pour shim, il s'agit de passer de la version 0.9+1474479173.6c180c6-1ubuntu1 à la version 13-0ubuntu2
      shim-signed n'est pas indiqué comme pouvant être mis à jour. En plus je suis surpris par le gros changement dans le n° de version de shim. Je ne trouve cette version que ici : https://ubuntu.pkgs.org/17.10/ubuntu-proposed-main-amd64/shim_13-0ubuntu2_amd64.deb.html mais c'est pour Ubuntu 17.10
      Peut-être que cette nouvelle version de shim permet justement de s'affranchir de cette dépendance à shim-signed.

      • [^] # Re: UEFI / Secure Boot ?

        Posté par  (site web personnel) . Évalué à 1.

        Oh, j'avais loupé la distinction entre xenial-updates et xenial-proposed (no Ubuntu expert here).

        kibi@armor:~$ rmadison -u ubuntu -s xenial-proposed shim shim-signed
 shim        | 13-0ubuntu2    | xenial-proposed | source, amd64
 shim-signed | 1.33.1~16.04.1 | xenial-proposed | source

        Il y a donc bien les deux paquets qui sont faits pour aller ensemble (cette nouvelle version de shim a un Breaks sur les vieilles versions de shim-signed), seulement il n'y a pas de paquet binaire pour shim-signed. Et effectivement, en regardant amd64 build of shim-signed 1.33.1~16.04.1 in ubuntu xenial PROPOSED, on voit bien le statut Failed to build.

        Tu n'as pas répondu sur le fait que tu utilisais juste le boot UEFI ou bien Secure Boot. Si ce dernier est activé, je te déconseille fortement de mettre à jour shim en virant shim-signed. Il n'y a pas de dépendance entre shim et shim-signed, mais sans ce dernier, Secure Boot risque de beaucoup moins bien fonctionner.

        Debian Consultant @ DEBAMAX

        • [^] # Re: UEFI / Secure Boot ?

          Posté par  . Évalué à 2.

          Tu n'as pas répondu sur le fait que tu utilisais juste le boot UEFI ou bien Secure Boot.

          Je n'ai pas vu de rubrique intitulée "Secure Boot" dans le bios de la machine.

          Si ce dernier est activé, je te déconseille fortement de mettre à jour shim en virant shim-signed. Il n'y a pas de dépendance entre shim et shim-signed, mais sans ce dernier, Secure Boot risque de beaucoup moins bien fonctionner.

          Dans l'incertitude à propos du secure boot, c'est aussi le conseil que je me donne. ;-)

          J'ai fait un rapport de bug sur launchpad.net car finalement je me dis qu'une procédure de mise à jour qui échoue ce n'est pas normal et qu'il y a peut-être un problème de dépendance mal configurée entre les paquets shim et shim-signed.

  • # Problème résolu

    Posté par  . Évalué à 1.

    Je viens d'installer une mise à jour avec cette fois une nouvelle version du paquet shim-signed. Reboot sans problème.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.