[lug-ld] Linux und secure boot - geht das?

So Apr 21 11:31:34 CEST 2024

Liebe Mona, liebe LUGer,

es stand ja die Vermutung von Dir, Mona, im Raum, dass, wenn man secure
boot abschaltet, Linux installiert, das BS Linux auch bei wieder
eingeschaltetem secure boot startet. Auf letzteres wird von mir Wert
gelegt, weil ein Windows 11 Medium vorzugsweise so starten soll. Leider
habe ich ganz am Ende bemerkt, dass ich den Liefer-Zustand nicht genau
dokumentierte.
Ich nahm aber an, dass im Lieferzustand secure boot aktiv ist, GPT/UEFI
sowieso. Das installierte Windows 11 lief korrekt und als ich ein
zugeschaltetes USB-Laufwerk zwar abdockte aber nicht den Stecker zog,
bekam ich das beim nächsten Start zu spüren. Mecker, ich solle alle
USB-Geräte abziehen, Start verweigert. Meine Vermutung: secure boot
Feature schlug zu. Abziehen ausgeführt, alles OK. Nicht nebenbei: Eine
Boot-Reihenfolge war nicht das Problem.

Irgendwann habe ich das Plattenmedium getauscht, Windowsplatte raus, ein
leere HD eingeschoben, versucht Linux zu installieren. Ging irgend wie
nicht. Dann Trick 17 probiert. Eine HD mit installiertem Linux (von
einem anderen Rechner) eingeschoben. UEFI war gegeben. Dieses Umstecken
ging bisher immer, wenn ich bei verschiedenen Rechnern ihre spezielle
Start-Fähigkeit MBR oder GPT/UEFI beachtete. Ein einziger Rechner
forderte exklusiv sein Startmedium wegen einer NVida-Grafikkarte (extra
Treiber vonnöten). Was ging bei meinem Umsteckversuch ab? Linux lief an,
es gab einen schwarzen Bildschirm zu sehen, so wie bei einem Terminal
alter Zeiten (randlos). Anweisungen zu einer Nachinstallation konnte man
lesen, die ich aber überhaupt nicht verstand. Dann habe ich wochenlang
die Sache auf die Seite gelegt.

Vor wenigen Tagen holte ich mir ein nagelneues Linux Mint Vers. 21.3-ISO
und habe einfach keck eine Installation probiert, einen crash bezüglich
secure boot erwartet, den aber mit erklärenden Hinweisen. Das Ganze ging
ewig, wahrscheinlich auch deshalb, weil ich eine vorhandene übrige HD
einschob (eine freie SSD hatte ich nicht). Höchst erstaunt stellte ich
später fest, dass nun anscheinend trotz secure boot die Installation und
weitere Einrichtungen DIESES MAL FUNKTIONIERTEN, alles wie sonst. Das
war jetzt nicht ganz im Sinne von Mona, weil ich ja secure boot nicht
definitiv vorher abschaltete. Gegenüber einem früheren Versuch ging die
Installation wahrscheinlich deshalb, weil es eben eine nagelneue Version
war (mit vermuteteten zusätzlichen Fähigkeiten?). Ich hatte aber einen
Verdacht, besser Vermutung, was ja, würde man Linux alleine auf einem
(neuen) Rechner benutzen durchaus praktisch wäre. Dieses Linux hat
womöglich  secure boot überwunden und - definitiv abgeschaltet. Die
Bestätigung folgte nach Mediumwechsel mit Windows: Bei einem jetzt
angedockten USB-Laufwerk meckerte Windows 11 nicht beim Starten und nach
langem Herumlesen im web, wie man so etwas herauskriegt, hat mir ein
Windows-Programm (msinfo32) angezeigt: "Sicherer Start: AUS". Da
erkannte ich mein Versäumnis: Ich hätte ganz am Anfang nachsehen müssen,
ob diese Fähigkeit eingeschaltet war. Das war aber vermutlich so
(Start-überwachung, nicht gewünscht USB-Medium). Ich habe nun viele web
sites durchsucht und mit keiner der Anweisungungen kam ich an den Punkt,
wie ich den sicheren Start wieder einschalten konnte. Das ist ja keine
Sache des Betriebssstems, muss vor einem Start laufen (BIOS oder ähnlich).

Damit bin ich nicht in der Lage, Monas Vermutung nachzuprüfen, ob, wenn
ich den sicheren Start wieder einschalte, Linux immer noch läuft. Wenn
ein Administrtor einen Tipp hat, dann... Aber wie gesagt, selbst beim
Rechnerhersteller Fujitsu nachgeguckt, bei MS sowieso, viele
Möglichkeiten des Vorgehens gelesen, keine funktionierte, bzw. keine
zeigte real das an, was in Bildern aus dem web gezeigt wurde. Ich bin
ratlos, könnte mir vorstellen, dass mein beschriebener Sachverhalt
Linux-Freunde trifft, wenn es um neue Hardware geht (oder auch nicht,
weil sich neue Linux-Installations-Software selbst hilft). Klar, ich
könnte jetzt sagen, geht doch momentan alles, auch ohne secure boot,
einfach so belassen. Das ist aber nicht meine Art, ich möchte eingreifen
können. Wenn ein Administrator, der in der Firma beide BS-Rechner
betreut und den vollen Durchblick hat, wäre ein Hausbesuch die Lösung,
selbstverständlich mit guter Aufwands-Entschädigung bei Erfolg und eine
Runde Bier (oder Wunschgetränk) Ergebnis unabhängig :))

Gruß Heinz

PS:
Noch ein kleiner Hinweis. Vieles muss ich über Kombination von bekannten
Dingen vermuten. Etwas zu behaupten liegt mir fern. Aber auch ein
Nachprüfen einer Vermutung scheitert oft an den richtigen Suchworten,
oder am Verständnis, wenn man etwas im web findet. Oder, da steht ganz
viel und man überliest einen einzigen, aber wichtigen Satz. Ich bin als
Dummy (bezüglich Universalwissens) auf Hilfe angewiesen, freue mich aber
sehr, wenn ich einem Menschen mit kleinem Mehrwissen dienen kann.