Уведомление подошло:
Cannot upgrade secure boot enforcement policy due to unsigned kernels
Your system has UEFI secure boot enabled firmware, and the following kernels present on your system are unsigned:
4.4.0-134-generic
The kernels cannot be verified under secure boot. To ensure your system remains bootable, GRUB will not be upgraded on your disk until these kernels are removed or replaced with signed kernels.
и обновление остановилось. Кто-то может сказать мне, что сделать?
Вы могли выключить безопасную начальную загрузку в своих Настройках BIOS/UEFI и позволить неподписанным пакетам обновить или установить linux-signed-generic, подписанный контейнером, grub-efi-amd64-signed, и fwupdate-подписанный в Ваших 16,04 системах и обновлении с безопасной начальной загрузкой.
Обновление должно работать, если Вы выключаете безопасную начальную загрузку и попробовали еще раз. Для установки пакетов запустите терминал (Ctrl + Высокий звук + t) и тип:
sudo apt-get install linux-signed-generic shim-signed grub-efi-amd64-signed fwupdate-signed
Я также встретился с этой проблемой, и я недавно решил ее путем подписания ядра.
Предупреждение: замена неподписанного ядра является опасностями; любые крошечные ошибки могут вызвать панику ядра. знать о том, что Вы делаете.
Благодаря следующим двум сообщениям я склонился, как подписать ядро для решения этой проблемы, можно обратиться к ним для получения дополнительной информации.
https://sqizit.bartletts.id.au/2019/04/23/fixing-grub-error-about-unsigned-kernel-in-ubuntu / https://ubuntu.com/blog/how-to-sign-things-for-secure-boot
Мои примечания для решения этой проблемы упоминаются ниже.
:
Cannot upgrade Secure Boot enforcement policy due to unsigned kernels
Your system has UEFI Secure Boot enabled in firmware, and the following kernels present on your system are unsigned:
4.18.20-041820-generic
These kernels cannot be verified under Secure Boot. To ensure your system remains bootable, GRUB will not be upgraded on your disk until these kernels are removed or replaced with signed kernels.
vim openssl.cnf
для создания нового входа файла # This definition stops the following lines choking if HOME isn't
# defined.
HOME = .
RANDFILE = $ENV::HOME/.rnd
[ req ]
distinguished_name = req_distinguished_name
x509_extensions = v3
string_mask = utf8only
prompt = no
[ req_distinguished_name ]
countryName = CA
stateOrProvinceName = Quebec
localityName = Montreal
0.organizationName = cyphermox
commonName = Secure Boot Signing
emailAddress = example@example.com
[ v3 ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage = codeSigning,1.3.6.1.4.1.311.10.3.6
nsComment = "OpenSSL Generated Certificate"
openssl req -config ./openssl.cnf \
-new -x509 -newkey rsa:2048 \
-nodes -days 36500 -outform DER \
-keyout "MOK.priv" \
-out "MOK.der"
Для регистрации ключа, используют команду mokutil:
sudo mokutil --import MOK.der
Следуют за подсказками для ввода пароля, который будет использоваться, чтобы удостовериться, что Вы действительно хотите зарегистрировать ключ через минуту.
, После того как это сделано, перезагрузка . Прежде, чем загрузить GRUB, контейнер покажет "синий" экран (который является на самом деле другой частью проекта контейнера по имени “MokManager”). используйте тот экран, чтобы выбрать “Enroll MOK” и следовать меню для окончания процесса регистрации. Можно также посмотреть на некоторые свойства ключа you’re пытающийся добавить, только удостовериться it’s действительно правильный с помощью “View key”. MokManager попросит у Вас пароля, который мы ввели ранее при выполнении mokutil; и сохранит ключ и we’ll перезагрузку снова.
openssl x509 -in MOK.der -inform DER -outform PEM -out MOK.pem
sudo cp /boot/vmlinuz-4.18.5-041805-generic ./
sudo sbsign --key MOK.priv --cert MOK.pem /boot/vmlinuz-4.18.5-041805-generic --output vmlinuz-4.18.5-041805-generic.signed
/boot/
каталог ( и удостоверяются, что ядро со знаком имеет то же имя как исходное ) sudo mv vmlinuz-4.18.5-041805-generic.signed /boot/vmlinuz-4.18.5-041805-generic
sudo dpkg-reconfigure grub-pc
, Это управляет, чтобы личинка причин восстановила свои меню. Удостоверяются для каждого пункта меню личинки (особенно со знаком), существует linux ...
строка и initrd ....
строка. Иначе можно встретиться "с паникой ядра" в, следующий раз Вы перезагружаете систему.
меню личинки Восстановления, вероятно, не строго необходимо, потому что я, didn’t на самом деле добавляют любые новые ядра к начальной загрузке//, но это стоило выполнить для проверки там weren’t любых ошибок.
sudo dpkg --configure grub-efi-amd64-signed
Выполнение uname-r должно указать 18.04 после перезагрузки. Если перезагрузка перестала работать, войдите в режим восстановления и восстановите установку (dpkg), затем загружаются обычно.
После начальной загрузки установка, универсальная Linux, который должен установить последнее (4.15) Перезагрузка ядра и в меню личинки, выбирает усовершенствованный и начальная загрузка в 4,15 ядра. Затем выполненная sudo Кв. - получает установку linux-signed-generic подписанный контейнером grub-efi-amd64-signed, fwupdate-со-знаком - который должен теперь установить без ошибок
Затем sudo способное обновление && sudo способное обновление и необходимо быть хорошими для движения.