Seguridad firmware-opensuse TW

Español (Spanish) Instalación/Administración
1

Hola a todos,el otro día metí la pata,dándole a chiquilinux un consejo sobre que no podía instalar opensuse arranque dual,pero era instalar el sistema en otro disco, no dos sistemas operativo en un mismo disco, perdón,por no leer atentamente.
Al tener secure boot deshabilitado,después de mirar en dispositivos seguridad de firmware me salio lo siguiente: captura de imagen.

Captura de pantalla_20240518_122724
Captura de pantalla_20240518_1227241306×930 198 KB

Me dice que -Este sistema tiene un nivel de seguridad HSI bajo-.

en HSI-1 Tengo bios firmware updates -deshabilitado y TMP v2.0: no encontrado

¿TMP es el chip que windows ha exigido para instalar windows 10 para proteger la bios?
y la otra duda o problema es que cuando ativo el secure boot de windows al reiniciar me sale
entering rescue mode y me sale el pront con: grup rescue> le hago un help y no sale nada le doy un ls y me sale las particiones del disco (hd0) (hd0,gpt8) (hd0,gpt7),etc.
Me imagino que sera para poner la particion de TW para poder cargar el sistema.
¿Como hago para arrancar opensuse TW con el secure boot habilitado?.
que vergüenza, tanto tiempo usando opensuse y no conocer el sistema a fondo,mi escusa es que soy usuario y no un experto en gnu-linux,siempre he intentado no preguntar y buscar información en San google.
gracias a todos por todo.
Salud y Saludos.

2

Yo no sabría decirte.

Lo que sí puedo decirte es que tengo deshabilitado Secure Boot desde el minuto 1.
Tengo un W10 en un disco aparte (me da igual lo que le pueda pasar) que uso para una parte de copia de seguridad. Concretamente 60Gb de Win10 y 819Gb de Datos Linux:

 ~/Descargas  sudo fdisk -l /dev/sdc                                                ✔  3s  11:37:38 
[sudo] contraseña para root: 
Disco /dev/sdc: 931,51 GiB, 1000204886016 bytes, 1953525168 sectores
Modelo de disco: SAMSUNG HD103SJ 
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 512 bytes
Tamaño de E/S (mínimo/óptimo): 512 bytes / 512 bytes
Tipo de etiqueta de disco: gpt
Identificador del disco: FBC88FD7-9EF3-4774-BE7D-FA45C7478516

Disposit.   Comienzo      Final   Sectores Tamaño Tipo
/dev/sdc1       2048    1085439    1083392   529M Entorno de recuperación de Windows
/dev/sdc2    1085440    1290239     204800   100M Sistema EFI
/dev/sdc3    1290240    1323007      32768    16M Reservado para Microsoft
/dev/sdc4    1323008  125880319  124557312  59,4G Datos básicos de Microsoft
/dev/sdc5  125880320 1843865599 1717985280 819,2G Sistema de ficheros de Linux

Luego ya en otro disco (un SSD), tengo openSUSE TW (50Gb) con una partición de Datos (413Gb):

 ~/Descargas  sudo fdisk -l /dev/sda                                                ✔  3s  16:09:55 
Disco /dev/sda: 465,76 GiB, 500107862016 bytes, 976773168 sectores
Modelo de disco: WDC WDS500G1B0B-
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 512 bytes
Tamaño de E/S (mínimo/óptimo): 512 bytes / 512 bytes
Tipo de etiqueta de disco: gpt
Identificador del disco: B8357F73-26C8-4411-9977-6C22CB08D112

Disposit.   Comienzo     Final  Sectores Tamaño Tipo
/dev/sda1       2048   1026047   1024000   500M Datos básicos de Microsoft <-- Aunque ponga eso es una vfat anclada en /boot/efi
/dev/sda2    1026048 105883647 104857600    50G Sistema de ficheros de Linux
/dev/sda3  972578816 976773134   4194319     2G Linux swap
/dev/sda4  105883648 972578815 866695168 413,3G Sistema de ficheros de Linux

La cosa es, ¿cómo instalé eso hace muchos años sin problemas? Fácil.

Desenchufé todos los discos (alimentación y datos) y sólo dejé enchufado el Samsung que he puesto primero. Instalé W10 y pasé al siguiente paso.
Desconecté el Samsung con ese W10 de 60Gb y conecté todos los otros. Instalé openSuSE (igual era Leap 42.1 pero no me acuerdo) y una vez todo acabado reenchufé el Samsung con W10.

Puedo arrancar sin problemas con uno u otro desde Grub. W10 lo arranco de higos a brevas (pueden ser muchísimos meses o algún año).

Saludos

1 Like
3

Hola.

Veamos. Disclaimer: yo no he usado estas cosas, así que no es que esté totalmente al día.

El mío, en este equipo, es similar. Ni siquiera sé si tento, o si está habilitado TPM. Debería tenerlo y estar deshabilitado.

Windows 11 exige TMP. Eso no protege la BIOS, es un chip dedicado a cifrado. Supuestamente es útil precisamente para cifrar dispositivos, supongo que incluso la RAM.

No te quejes, el otro día cambié una placa de alguien y me dejó de detectar el arranque al completo -no recuerdo cómo había instalado ese sistema exactamente. openSUSE soporta fácilmente la instalación con Secure Boot, pero la instalación por defecto hasta donde sé no funciona así.

Es una buena pregunta.

El asunto se resume en que tienes que instalar grub de forma que lo soporte. Si instalas openSUSE cuando haces la instalación, es automático.

boot_grub
Yo comenzaría por probar ese “Trusted Boot Support” (puede que en castellano venga como soporte de arranque confiable" o tal vez “seguro” o como venga…).

Aquí no sé si eso es suficiente, porque puede que para validar esa opción necesite que la BIOS ya lo haya activado antes. En ese caso, puede que necesites cambiar la BIOS y utilizar un USB-live o cualquier cosa para intentar arrancar desde disco duro -o incluso un arranque de emergencia(1).

También puede ser buen día para probar eso de systemd-boot.

Aquí la excusa es que al ser cosas que no se usan, es normal no ser muy ducho en ellas.

Estas cosas son más útiles en entornos profesionales o con los portátiles. En tu escritorio pues tampoco es que el riesgo sea tanto.

Por ejemplo, se supone que en Aeon van a usar TMP para facilitar el uso del equipo cifrado. En cuanto al “secure boot”, aunque la idea de Microsoft es asentar su posición de dominio, realmente tampoco es mucho problema usarlo.

Salud!!

(1) Arranque como administrador - openSUSE Wiki

1 Like
4

Hola:

Que intente arrancar con el menú de arranque de UEFI (en vez del grub2) , (es una tecla de función “F”, que hay que pulsar durante el encendido del pc) .

Saludos .

1 Like
5

Hola de nuevo ,párese ser que a nadie le importa que se le resfrié el W10 :face_vomiting: .
creía que era el único ,hay cosas que linux no utiliza hechas para wildolls en la placa base.
y el mensaje del principio con el pront parece después de leer las respuestas que me arranca en modo UEFI y no grup2.
Muchas gracias a todos como siempre
Salud y saludos

6

Si tu respuesta es la solución márcala como resuelta para el futuro.

Saludos

1 Like
7

Hola ,gracias por su información, quería saber la causa que provocaba al arrancar el sistema,porque me salia el pront, y el dichoso chip de w10 que linux no utiliza ,me dices que aeon lo utilizara,si esta hay por que no utilizarlo,probare lo que me dices y un disco de arranque como administrador.
Salud y Saludos

8

Hola, gracias por su respuesta,cambiar de UEFI a grup2 pulsando F ,esta la apunto.
Salud y Saludos

9

No marques como solución mi respuesta que dice:

Marca la solución que resuelva el problema (creo que se puede cambiar). Que en este caso (creo) sería tu respuesta diciendo:

Saludos

1 Like
10

Yo diría que mikrios se refería a una tecla de función (F8, F9, F12,…).

Salud!!

1 Like
11

Hola:

UEFI es un estándar, Se necesita una partición efi tipo fat (16, 32) donde están las herramientas para el arranque, el cual, sea el que sea debe estar en una partición (o en un directorio, ya sea en disco de linux o en disco de windows) /boot/efi (ya sea que estén los dos arranques ahí o bien cada disco tengo su propio /boot/efi (ejemplo con Leap, no es exacto , ( me refiero al ejemplo ) solo ejemplo. /boot/efi/ ahí hay dos directorios, uno llamado por ejemplo openSUSE y otro llamado microsoft , este es el caso que uno de los directorios comparte los dos arranques ( o mas, si tiene mac, u otro S.O.) .

El último sistema operativo a instalar, va a ser el primero en arrancar (excepto que se cambie o tenga CSM, o se elija con el arranque de UEFI (una de las teclas F) .
Supongamos que arranca grub2, pues con el ratón o teclas de cursor, se mueve para seleccionar linux o windows , si se elije linux, se puede ir a yast2, y en cargador de arranque, tercera pestaña, hay un despegable, se pulsa ahí y elijes el sistema que quieres que arranque primero, si pones win, en el proximo arranque, arranca grub y redirige el arranque a windows.
Win debe tener un sistema, para recuperar lo, ya sea por fecha, o bien de fabrica con programas o limpio (si lo recuperas, volverá a cargar drivers de win y los de optane .
si hay posibilidad de un M2, 1Tb sale barato y mas si es de 2ª o 3ª generación, si quiere gastar mas los hay hasta 4Tb, (puede hacer una copia de win en un usb , de 32GB y restaurarlo en el M2, así tiene un win rápido y espacio para un linux) .

En el hp mio , tengo 2 discos un M2 y un mecanico, win10 y Leap Y deje una partición para compartir win y linux , hay que mirar, las posibilidades, si el equipo reconoce el dispositivo como de almacenaje, podría hacer lo mismo, ahora en mi caso no tengo optane, por lo que no lo puedo asegurar, ya eso los que ya lo han hecho.

Saludos

1 Like
12

Hola:

Me gustaría aclarar lo de que no es exacto, si bien es sencillo, puede variar,según se instala.
Por eso creo que es mejor explicar, las formas.
Por defecto se instala en una EFI, compartiendo, esta con la que ya existen, win, mac, otro linux,etc.
Ahora bien, uno puede crear otra partición EFI e instalar la de linux en ella y no tocar la de win.
el mismo particionador de yast2, nos sirve para hacer esto, creamos una partición de 300 a 500Mb, le decimos que es de tipo EFI, después creamos otra, activamos snapper (lo de las instántaneas, le damos un valor de 40GB a 60GB o mas, le decimos que formatee en btrfs y que sea del sistema, punto de montaje la raíz (/) y por último del espacio que queda libre, otra del sistema, el formato que queramos y punto de montaje /home (esto es hacerlo de forma personalizada) .

Aclarar lo de CSM , es una opción, la cual nos permite, la compatibilidad, con el sistema heredado o legacy (MBR, pag cero del disco), en este modo aparecen en el menú tanto el dipositivo legacy y el mismo en UEFI (si está activo, se tiene que estar atento, con el usb dentro, cuando enciendas el pc, para seleccionar UEFI, ya que si no puede instalar en mbr) .

Legacy y UEFI, ambas llegan a la pag. 0 del disco (guardan compatibilidad) , en legacy lee registros, en cambio UEFI ademas de eso lee sistema de archivos /boot/efi .

El orden de arranque, se puede hacer desde el arrancador de yast2 o bien desde consola con el comando efibootmgr .

Este tema es mejor explicarlo, según la forma que se a hecho, queda mas claro.

Saludos

13

Hola, gracias de nuevo,estuve probando de F1 a F12 , teclas de función supr,insert inicio,F1 -F12
me salio el grup2 en F11 en mi caso,gracias por su interés
Salud y Saludos.

14

Hola de nuevo,gracias por responder,la tecla de función F11 es la que funciona en mi placa, al pulsar esta me lleva a grup2 ,pero solo me deja arrancar el sistema con arranque seguro y windows.
no se si sera por instalar de nuevo tw ,al tener el home en btfrs ,decidí cambiar este a xfs,haciendo una instalación nueva,para que sanpshots no haga copias cuando utilizo el home
Tengo que seguir haciendo pruebas con el uefi y el bios de mi placa y revisar /boot/efi.
No he tenido mucho tiempo,obligaciones del hogar.
Gracias por su interes.
Salud y Saludos.

15

Hola karlggest, me di cuenta que era una tecla función ,empece con F ,jeje y seguí desde F1 a F11 con esta ultima me salio el los sectores de arranque de windows y opensuse TW.
Hace 4 o 5 días actualice la placa msi b550M-A PRO, se me olvido comentarlo ,y desde ese día empezó el problema.
en el boot de la placa salio directamente windows ,me fui al boot y lo cambie a opensuse ,pero no me fije que me había creado un arranque que decía opensuse secure.
al meterme de nuevo en cambiar boot de arranque, vi que al desplegar, salia el mensaje entero:
opensuse secureboot lo seleccione el primero,en el boot desde la placa y ya no tengo problemas para ejecutar el grup2 en modo secureboot desde UEFI
Gracias a todos por su información.
Salud y Saludos.

1 Like
16

Para el futuro, el gestor de arranque se llama Grub2 (con b). :wink:

Saludos

2 Likes
17

Hola,es verdad lo he mencionado unas cuantas veces y todas mal escrita, Grub2 .
Gracias por su paciencia e interés.
Salud y Saludos

18

This topic was automatically closed 7 days after the last reply. New replies are no longer allowed.