Saya baru saja memperbarui sistem saya dari 15.10 ke 16.04 via sudo do-release-upgrade
. Selama proses ini, ia menampilkan layar dengan pesan berikut:
Sistem Anda mengaktifkan UEFI Secure Boot. UEFI Secure Boot tidak kompatibel dengan penggunaan driver pihak ketiga.
(...) Ubuntu masih dapat melakukan boot pada sistem Anda, tetapi driver pihak ketiga ini tidak akan tersedia untuk perangkat keras Anda.
Nonaktifkan UEFI Secure Boot? (ya | tidak)
Karena satu-satunya driver pihak ketiga yang saya gunakan adalah driver grafis NVIDIA, dan karena mereka telah bekerja dengan baik dengan Ubuntu 15.10 dan Secure Boot diaktifkan, saya memilih opsi "tidak" di sini. Saya tidak melihat mengapa saya harus menonaktifkan ini tanpa alasan yang baik, dan saya berasumsi saya bisa menginstal ulang driver pihak ketiga melalui pengaturan sistem GUI setelah pembaruan.
Sayangnya, tidak. Setelah reboot, layar login saya muncul dalam resolusi yang sangat rendah. Ketika mencoba masuk, segera melemparkan saya kembali ke layar masuk.
Saya telah mencoba yang berikut ini untuk memperbaiki situasi:
sudo apt-get purge nvidia*
sudo reboot
Ini mengarah ke layar ungu dan tidak ada reaksi terhadap Ctrl-Alt-F1. Masuk melalui SSH, saya kemudian melakukan:
sudo apt-get install nvidia-current
sudo reboot
yang sekali lagi membawa saya skenario sebelumnya, dengan layar masuk res yang sangat rendah, dan tidak ada cara untuk masuk.
Ini adalah pengalaman peningkatan yang sangat buruk. Apakah ada orang lain yang memiliki ini, dan apa yang dapat saya lakukan untuk memperbaikinya? (sambil tetap mengaktifkan UEFI Secure Boot) Terima kasih.
Jawaban:
Melalui Ubuntu 15.10, penanganan Secure Boot oleh Ubuntu berhenti di GRUB - yaitu, Shim versi Ubuntu akan meluncurkan GRUB versi Ubuntu, yang akan meluncurkan kernel Linux apa pun , baik itu ditandatangani atau tidak. Ini adalah bar dukungan yang sangat rendah untuk Boot Aman. Sebagai perbandingan, GRUB Fedora hanya akan meluncurkan kernel Linux yang ditandatangani, dan kernel Fedora, ketika mereka mendeteksi bahwa Secure Boot aktif, akan memuat hanya binari kernel yang ditandatangani. Maksud dari dukungan Boot Aman Fedora yang lebih kuat adalah untuk melindungi sistem terhadap modul kernel "jahat", yang secara teori dapat mengambil alih komputer pada level yang sangat rendah. Ubuntu 15.10 dan sebelumnya tidak memiliki perlindungan seperti itu.
Dimulai dengan 16.04, Ubuntu mengikuti modul Boot Aman yang lebih ketat, lebih seperti apa yang telah dilakukan Fedora cukup lama. Ini memiliki manfaat keamanan, tetapi seperti yang Anda lihat, ini juga memiliki masalah. Jika driver pihak ketiga tidak ditandatangani dengan kunci kriptografi yang diakui versi Ubuntu dari kernel Linux sebagai valid, itu tidak akan dimuat. Ini sebagian besar berdampak pada driver video Nvidia dan AMD / ATI sumber tertutup, tetapi ada driver lain yang dapat terpengaruh juga.
Ada (atau mungkin) beberapa solusi untuk masalah ini:
Perhatikan bahwa hanya dua dari opsi ini yang saya yakin 100% akan berfungsi adalah untuk menonaktifkan Boot Aman atau untuk menghindari modul kernel pihak ketiga. Saya menghindari modul kernel pihak ketiga seperti wabah, jadi saya tidak punya pengalaman pribadi dalam menggunakannya di lingkungan Boot Aman. Selain menonaktifkan Boot Aman, membangun kernel Anda sendiri mungkin yang paling mungkin bekerja berikutnya, diikuti dengan menggunakan GRUB yang lebih lama atau menggunakan boot loader yang tidak menghormati Boot Aman. Membangun kernel Anda sendiri adalah hal yang biasa, tetapi hanya sedikit orang yang melakukannya lagi, dan dengan kernel modern, investasi waktu untuk mempelajari cara mengkonfigurasi kernel, belum lagi benar-benar melakukannya, dapat menjadi signifikan. Menggunakan GRUB yang lebih lama atau boot loader lain mungkin lebih mudah, tetapi Anda harus cukup tahu untuk dapat mengaturnya.
sumber
/lib/modules/x.y.z/updates/dkms/nvidia*.ko
menggunakankmodsign
(juga setelah setiap pembaruan driver) atau secara otomatis denganapt install shim-signed
.