• Aquí vive el Software Libre, coje lo que quieras, da lo que puedas
  • Rápido, seguro, libre e increíblemente fácil de usar
  • Ubuntu: Linux para seres humanos
  • Linux es Educación. Linux es Ciencia
  • Ubuntu es diseño, Ubuntu es innovación
  • Keep calm and enjoy Ubuntu
  • Trata tu teclado como se merece con Ubuntu
  • pf-kernel para Ubuntu
  • Convierte tu iMac en un ordenador de verdad
  • La libertad no es poder elegir entre unas pocas opciones impuestas
  • Software libre, para una sociedad libre

Secure Boot Strikes Back (2017 edition)

Entrada escrita por: Francisco Javier Teruelo de Luis
¡Buenas, he vuelto! Desde debajo de una montaña de portátiles, cables de red, alimentadores tan enredados que ni Dédalo hubiera podido hacer algo con ellos y otras obscenidades diversas, pero he conseguido salir y os traigo carnaza fresca.

A estas alturas creo ya haber dejado patente mi rechazo a ciertas combinaciones como la de UEFI y Secure Boot, y reconozco haber caido en la trampa de culpar a la UEFI de los problemas generados por esa combinatoria -cuando en realidad UEFI no es más que una extensión de la original EFI de Intel, paralela en tiempo y desarrollo a BIOS. Si alguien quiere ir ampliando este es un buen lugar para comenzar-. Teóricamente el año pasado con los primeros Acer TravelMate 117 ya lo habíamos resuelto y teníamos el proceso dominado; era hace mas o menos un año, en esta entrada.

Pues bien, resulta que habíamos tenido suerte porque este curso hemos perdido una semana; a pesar de adquirir la misma máquina eramos incapaces de clonar la imagen modificada que usamos en el centro y la pseudodocumentación que creamos el año pasado no nos resolvía el problema. Las imágenes eran correctas, el prototipo ronroneaba como un gatito... ¿Dónde estábamos cometiendo el fallo?

Porque me negaba a culpar al sistema; si había funcionado antes y todo era igual, el fallo lo cometíamos nosotros y, dado que era el único del equipo que continuaba desde el año pasado, yo.

En un momento de desesperación y, por descarte, llegamos a una idea peregrina... ¿Y si lo que nos estaba bloqueando era el Secure Boot? Teóricamente al pasar a Legacy ya no afectaba, pero...

¿Qué podíamos perder? ¿Diez minutos más? No venía de eso. Así que iniciamos el proceso, el cual voy a detallar:
  1. Pinchamos el USB que contiene Parted Magic y la imagen correspondiente.
  2. Arrancamos la máquina, conectada a la electricidad, y empezamos a aporrear espasmódicamente la tecla F2 para acceder a la BIOS.
  3. Una vez en BIOS, desactivamos el pad avanzado -quien quiera hacer gestos tipo mac, que se compre uno; interfiere en el funcionamiento general.
  4. Desactivamos también el arranque por red; sólo ralentiza el inicio y nos da una puerta de entrada potencial a ataques.
  5. Activamos la clave de BIOS. Acabamos de ganar acceso a todas las funciones de la BIOS que estaba capada hasta ese momento.
  6. Desactivamos Secure Boot y DESPUÉS desactivamos UEFI, lo dejamos en Legacy. En esta caso el orden es muy importante y aquí está la trampa.
  7. F10, reiniciamos guardando los cambios.
  8. F12 de forma frenética, arrancamos con el USB y empezamos a clonar con la imagen adecuada. Si la gráfica nos da problemas, añadimos el parámetro nomodeset en el arranque o buscamos la opción Blank screen workaround.
  9. Una vez clonada la máquina, reiniciamos y volvemos a entrar en BIOS con F2
  10. Reactivamos UEFI y... ¡Sorpresa! ¡Se reactiva también el Secure Boot! ¡Secure Boot es el descendiente cabrón de Clippo, siempre aparece!. Lo desactivamos. Es muy importante este orden porque en caso contrario no arrancará.
  11. Accedemos a las firmas de la UEFI y añadimos la firma grub64 en la carpeta /boot/EFI.
  12. Reinciamos y veremos que va como la seda.
Los pasos 6 y 10 son los importantes; o se hace en ese orden o el comportamiento es errático y no se puede prever qué pasará. Al menos con los Acer TravelMate 117

Por otro lado, vamos a analizar un momento el comportamiento mostrado:
 
a) UEFI y Secure Boot son dos cosas diferentes, que -bien- combinadas podrían dar una gran seguridad a un sistema, pero si activo una no tendría porqué arrastrar la otra. Aún así, podría entenderlo como un protocolo de funcionamiento que no ha sido especificado -o divulgado-.

b) Si se pasa a Legacy ¿por qué sigue activado el Secure Boot SIN POSIBILIDAD DE ACCESO? ¿No se entendía que Legacy era una opción para trabajar sin bloqueos? ¿Soy yo o es otro engaño? Puestos a bloquear, incluye un jumper en la placa y sólo podremos instalar lo que queremos desmontando la máquina.
 
Por cierto ¿Adivináis de que empresa viene el bloqueo del Secure Boot? ¡Premio! ¡Nuestro gran amigo Microsoft!

Resumiendo: Si nosotros, que tenemos callos de pelearnos con máquinas de su padre y de su madre, de instalar línux diferentes en tostadoras si es necesario, que estamos hartos de pelearnos con UEFI necesitamos tener este nivel de detalle y control, ¿os imagináis que le puede pasar a un simple aficionado que tiene costumbre de instalar distribuciones sin demasiado problema pero que no tiene ni idea de cómo lidiar con estos engendros? Después los responsables de la dificultad de Línux somos nosotros, con nuestras distribuciones múltiples, nuestros forks, nuestras sectas y nuestro frikismo. ¡Claaaaro que sí, colega! ¡Tú das todas las facilidades!

Espero que os sirva como ayuda. Si alguien tiene algún procedimiento diferente con otra placa, agradecería que lo informara; no sé con qué tendré que pelearme el año que viene.

Hasta luego

0 comentarios: