Обновление от 16,04 до 18,04 перестало работать

Question 1

Уведомление подошло:

Cannot upgrade secure boot enforcement policy due to unsigned kernels
Your system has UEFI secure boot enabled firmware, and the following kernels present on your system are unsigned:
4.4.0-134-generic
The kernels cannot be verified under secure boot. To ensure your system remains bootable, GRUB will not be upgraded on your disk until these kernels are removed or replaced with signed kernels.

и обновление остановилось. Кто-то может сказать мне, что сделать?

Question 2

Вы могли выключить безопасную начальную загрузку в своих Настройках BIOS/UEFI и позволить неподписанным пакетам обновить или установить linux-signed-generic, подписанный контейнером, grub-efi-amd64-signed, и fwupdate-подписанный в Ваших 16,04 системах и обновлении с безопасной начальной загрузкой.

Обновление должно работать, если Вы выключаете безопасную начальную загрузку и попробовали еще раз. Для установки пакетов запустите терминал (Ctrl + Высокий звук + t) и тип:

sudo apt-get install  linux-signed-generic shim-signed grub-efi-amd64-signed fwupdate-signed

Question 3

Question 4

Я также встретился с этой проблемой, и я недавно решил ее путем подписания ядра.
Предупреждение: замена неподписанного ядра является опасностями; любые крошечные ошибки могут вызвать панику ядра. знать о том, что Вы делаете.

Подтверждение

Благодаря следующим двум сообщениям я склонился, как подписать ядро для решения этой проблемы, можно обратиться к ним для получения дополнительной информации.

https://sqizit.bartletts.id.au/2019/04/23/fixing-grub-error-about-unsigned-kernel-in-ubuntu / https://ubuntu.com/blog/how-to-sign-things-for-secure-boot

Мои примечания для решения этой проблемы упоминаются ниже.

ошибка личинки Фиксации о неподписанном ядре в ИНФОРМАЦИИ ОБ ОШИБКЕ Ubuntu

:

Cannot upgrade Secure Boot enforcement policy due to unsigned kernels

Your system has UEFI Secure Boot enabled in firmware, and the following kernels present on your system are unsigned:

 4.18.20-041820-generic

These kernels cannot be verified under Secure Boot. To ensure your system remains bootable, GRUB will not be upgraded on your disk until these kernels are removed or replaced with signed kernels.

Сертификаты в контейнере

CD к каталогу Вы хотите сохранить Сертификаты
vim openssl.cnf для создания нового входа файла
после содержания в файле (измените req_distinguished_name информацию, если Вам нравится, это в порядке к левому это, как это).

# This definition stops the following lines choking if HOME isn't
# defined.
HOME                    = .
RANDFILE                = $ENV::HOME/.rnd
[ req ]
distinguished_name      = req_distinguished_name
x509_extensions         = v3
string_mask             = utf8only
prompt                  = no

[ req_distinguished_name ]
countryName             = CA
stateOrProvinceName     = Quebec
localityName            = Montreal
0.organizationName      = cyphermox
commonName              = Secure Boot Signing
emailAddress            = example@example.com

[ v3 ]
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always,issuer
basicConstraints        = critical,CA:FALSE
extendedKeyUsage        = codeSigning,1.3.6.1.4.1.311.10.3.6
nsComment               = "OpenSSL Generated Certificate"

создают закрытые и открытые ключи

openssl req -config ./openssl.cnf \
        -new -x509 -newkey rsa:2048 \
        -nodes -days 36500 -outform DER \
        -keyout "MOK.priv" \
        -out "MOK.der"

Регистрация ключа

Для регистрации ключа, используют команду mokutil:

sudo mokutil --import MOK.der

Следуют за подсказками для ввода пароля, который будет использоваться, чтобы удостовериться, что Вы действительно хотите зарегистрировать ключ через минуту.

, После того как это сделано, перезагрузка . Прежде, чем загрузить GRUB, контейнер покажет "синий" экран (который является на самом деле другой частью проекта контейнера по имени вЂњMokManagerвЂќ). используйте тот экран, чтобы выбрать вЂњEnroll MOKвЂќ и следовать меню для окончания процесса регистрации. Можно также посмотреть на некоторые свойства ключа youвЂ™re пытающийся добавить, только удостовериться itвЂ™s действительно правильный с помощью вЂњView keyвЂќ. MokManager попросит у Вас пароля, который мы ввели ранее при выполнении mokutil; и сохранит ключ и weвЂ™ll перезагрузку снова.

подписывают пользовательское ядро, которое Вы хотите загрузить контейнером

, преобразовывают сертификат, который мы создали ранее в PEM:

openssl x509 -in MOK.der -inform DER -outform PEM -out MOK.pem

создают резервную копию , исходный vmlinuz файл (например, vmlinuz-4.18.5-041805-generic)

sudo cp /boot/vmlinuz-4.18.5-041805-generic ./

подписываются, ядро со следующей командой (измените имя ядра соответственно)

sudo sbsign --key MOK.priv --cert MOK.pem /boot/vmlinuz-4.18.5-041805-generic --output vmlinuz-4.18.5-041805-generic.signed

, перемещают ядро со знаком в /boot/ каталог ( и удостоверяются, что ядро со знаком имеет то же имя как исходное )

sudo mv vmlinuz-4.18.5-041805-generic.signed /boot/vmlinuz-4.18.5-041805-generic

, восстанавливают меню личинки со следующей командой

sudo dpkg-reconfigure grub-pc

, Это управляет, чтобы личинка причин восстановила свои меню. Удостоверяются для каждого пункта меню личинки (особенно со знаком), существует linux ... строка и initrd .... строка. Иначе можно встретиться "с паникой ядра" в, следующий раз Вы перезагружаете систему.

меню личинки Восстановления, вероятно, не строго необходимо, потому что я, didnвЂ™t на самом деле добавляют любые новые ядра к начальной загрузке//, но это стоило выполнить для проверки там werenвЂ™t любых ошибок.

Это фиксирует установку пакета, который был поврежден. Если все идет согласно плану, он больше не должен показывать ошибку.

sudo dpkg --configure grub-efi-amd64-signed

Question 5

Выполнение uname-r должно указать 18.04 после перезагрузки. Если перезагрузка перестала работать, войдите в режим восстановления и восстановите установку (dpkg), затем загружаются обычно.

После начальной загрузки установка, универсальная Linux, который должен установить последнее (4.15) Перезагрузка ядра и в меню личинки, выбирает усовершенствованный и начальная загрузка в 4,15 ядра. Затем выполненная sudo Кв. - получает установку linux-signed-generic подписанный контейнером grub-efi-amd64-signed, fwupdate-со-знаком - который должен теперь установить без ошибок

Затем sudo способное обновление && sudo способное обновление и необходимо быть хорошими для движения.

ubfan1 · Accepted Answer · 1 December 2019 в 09:44

Вы могли выключить безопасную начальную загрузку в своих Настройках BIOS/UEFI и позволить неподписанным пакетам обновить или установить linux-signed-generic, подписанный контейнером, grub-efi-amd64-signed, и fwupdate-подписанный в Ваших 16,04 системах и обновлении с безопасной начальной загрузкой.

Обновление должно работать, если Вы выключаете безопасную начальную загрузку и попробовали еще раз. Для установки пакетов запустите терминал (Ctrl + Высокий звук + t) и тип:

sudo apt-get install  linux-signed-generic shim-signed grub-efi-amd64-signed fwupdate-signed

liushan CHEN · Answer 2 · 1 December 2019 в 09:44

Я также встретился с этой проблемой, и я недавно решил ее путем подписания ядра.
Предупреждение: замена неподписанного ядра является опасностями; любые крошечные ошибки могут вызвать панику ядра. знать о том, что Вы делаете.

Подтверждение

Благодаря следующим двум сообщениям я склонился, как подписать ядро для решения этой проблемы, можно обратиться к ним для получения дополнительной информации.

https://sqizit.bartletts.id.au/2019/04/23/fixing-grub-error-about-unsigned-kernel-in-ubuntu / https://ubuntu.com/blog/how-to-sign-things-for-secure-boot

Мои примечания для решения этой проблемы упоминаются ниже.

ошибка личинки Фиксации о неподписанном ядре в ИНФОРМАЦИИ ОБ ОШИБКЕ Ubuntu

:

Cannot upgrade Secure Boot enforcement policy due to unsigned kernels

Your system has UEFI Secure Boot enabled in firmware, and the following kernels present on your system are unsigned:

 4.18.20-041820-generic

These kernels cannot be verified under Secure Boot. To ensure your system remains bootable, GRUB will not be upgraded on your disk until these kernels are removed or replaced with signed kernels.

Сертификаты в контейнере

CD к каталогу Вы хотите сохранить Сертификаты
vim openssl.cnf для создания нового входа файла
после содержания в файле (измените req_distinguished_name информацию, если Вам нравится, это в порядке к левому это, как это).

# This definition stops the following lines choking if HOME isn't
# defined.
HOME                    = .
RANDFILE                = $ENV::HOME/.rnd
[ req ]
distinguished_name      = req_distinguished_name
x509_extensions         = v3
string_mask             = utf8only
prompt                  = no

[ req_distinguished_name ]
countryName             = CA
stateOrProvinceName     = Quebec
localityName            = Montreal
0.organizationName      = cyphermox
commonName              = Secure Boot Signing
emailAddress            = example@example.com

[ v3 ]
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always,issuer
basicConstraints        = critical,CA:FALSE
extendedKeyUsage        = codeSigning,1.3.6.1.4.1.311.10.3.6
nsComment               = "OpenSSL Generated Certificate"

создают закрытые и открытые ключи

openssl req -config ./openssl.cnf \
        -new -x509 -newkey rsa:2048 \
        -nodes -days 36500 -outform DER \
        -keyout "MOK.priv" \
        -out "MOK.der"

Регистрация ключа

Для регистрации ключа, используют команду mokutil:

sudo mokutil --import MOK.der

Следуют за подсказками для ввода пароля, который будет использоваться, чтобы удостовериться, что Вы действительно хотите зарегистрировать ключ через минуту.

, После того как это сделано, перезагрузка . Прежде, чем загрузить GRUB, контейнер покажет "синий" экран (который является на самом деле другой частью проекта контейнера по имени вЂњMokManagerвЂќ). используйте тот экран, чтобы выбрать вЂњEnroll MOKвЂќ и следовать меню для окончания процесса регистрации. Можно также посмотреть на некоторые свойства ключа youвЂ™re пытающийся добавить, только удостовериться itвЂ™s действительно правильный с помощью вЂњView keyвЂќ. MokManager попросит у Вас пароля, который мы ввели ранее при выполнении mokutil; и сохранит ключ и weвЂ™ll перезагрузку снова.

подписывают пользовательское ядро, которое Вы хотите загрузить контейнером

, преобразовывают сертификат, который мы создали ранее в PEM:

openssl x509 -in MOK.der -inform DER -outform PEM -out MOK.pem

создают резервную копию , исходный vmlinuz файл (например, vmlinuz-4.18.5-041805-generic)

sudo cp /boot/vmlinuz-4.18.5-041805-generic ./

подписываются, ядро со следующей командой (измените имя ядра соответственно)

sudo sbsign --key MOK.priv --cert MOK.pem /boot/vmlinuz-4.18.5-041805-generic --output vmlinuz-4.18.5-041805-generic.signed

, перемещают ядро со знаком в /boot/ каталог ( и удостоверяются, что ядро со знаком имеет то же имя как исходное )

sudo mv vmlinuz-4.18.5-041805-generic.signed /boot/vmlinuz-4.18.5-041805-generic

, восстанавливают меню личинки со следующей командой

sudo dpkg-reconfigure grub-pc

, Это управляет, чтобы личинка причин восстановила свои меню. Удостоверяются для каждого пункта меню личинки (особенно со знаком), существует linux ... строка и initrd .... строка. Иначе можно встретиться "с паникой ядра" в, следующий раз Вы перезагружаете систему.

меню личинки Восстановления, вероятно, не строго необходимо, потому что я, didnвЂ™t на самом деле добавляют любые новые ядра к начальной загрузке//, но это стоило выполнить для проверки там werenвЂ™t любых ошибок.

Это фиксирует установку пакета, который был поврежден. Если все идет согласно плану, он больше не должен показывать ошибку.

sudo dpkg --configure grub-efi-amd64-signed

Nah.uhh · Answer 3 · 1 December 2019 в 09:44

Выполнение uname-r должно указать 18.04 после перезагрузки. Если перезагрузка перестала работать, войдите в режим восстановления и восстановите установку (dpkg), затем загружаются обычно.

После начальной загрузки установка, универсальная Linux, который должен установить последнее (4.15) Перезагрузка ядра и в меню личинки, выбирает усовершенствованный и начальная загрузка в 4,15 ядра. Затем выполненная sudo Кв. - получает установку linux-signed-generic подписанный контейнером grub-efi-amd64-signed, fwupdate-со-знаком - который должен теперь установить без ошибок

Затем sudo способное обновление && sudo способное обновление и необходимо быть хорошими для движения.

Обновление от 16,04 до 18,04 перестало работать

3 ответа

Подтверждение

ошибка личинки Фиксации о неподписанном ядре в ИНФОРМАЦИИ ОБ ОШИБКЕ Ubuntu

Сертификаты в контейнере

Регистрация ключа

подписывают пользовательское ядро, которое Вы хотите загрузить контейнером

Другие вопросы по тегам:

Похожие вопросы: