Debian-facile

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

[Résolu] Secure boot et Virtualbox

Bonsoir à toutes et à tous,
Avec l'aide de raleur je viens d'activer le secure boot sur ma machine.
C'est OK, mais j'ai des soucis avec Virtualbox (installé depuis leur serveur) .
J'étais confiant car j'avais vu ces 2 pages qui semblaient traiter du problème: ici ou ici ( elles sont un peu différentes)
Pour moi, tout a été bon jusque là ou là, mais après, plus rien ne fonctionne...ou bien je m'y prends comme un manche...
Parmi vous quelqu'un a-t-il réussi à faire fonctionner Virtualbox sur une machine avec secure boot?
D'avance merci pour vos lumières.

Dernière modification par pomme (10-02-2024 20:31:04)

Croutons

Membre

Distrib. : Debian12

Noyau : Linux 6.1.0-13-amd64

(G)UI : Fluxbox(NakeDeb)

Inscription : 16-12-2016

Re : [Résolu] Secure boot et Virtualbox

hello
c'est à dire plus rien qui fonctionne
ça aide pas vraiment ta phrase

ce que je peux te conseiller déjà c'est d'installer la version des dépôts fasttrack
j'avais remis le wiki a à jour a ce sujet
https://debian-facile.org/doc:systeme:v … -fasttrack
après j'ai pas de secure boot sur mon PC donc je peux rien dire de +

---

-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<-- 
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

Re : [Résolu] Secure boot et Virtualbox

Salut Crouton,
Il est vrai que je ne suis pas tres clair, mais, sur ces pages , il y a beaucoup de cas traités et je ne sais pas tres bien ou taper. C'est pour ça que j'aimerais bien que quelqu'un qui a eu à traiter cela passe par là.
Concernant Fasttrack, sais-tu si les paquets sont signés comme les paquets Debian?
Merci.

raleur

Membre

Inscription : 03-10-2014

Re : [Résolu] Secure boot et Virtualbox

je ne sais pas tres bien ou taper.

Où taper quoi ?

Concernant Fasttrack, sais-tu si les paquets sont signés comme les paquets Debian?

Quelle que soit la provenance des paquets les modules doivent être compilés (et signés) localement pour la version exacte du noyau installé.

Dernière modification par raleur (09-02-2024 00:03:42)

---

Il vaut mieux montrer que raconter.

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

Re : [Résolu] Secure boot et Virtualbox

Bonjour,

Où taper quoi ?

Je voulais dire que je ne sais pas quelles commandes utiliser

Quelle que soit la provenance des paquets les modules doivent être compilés (et signés) localement pour la version exacte du noyau installé.

Là tu parles bien de Virtualbox, car, concernant les paquets Debian, j'ai compris que shim est l'entée de confiance (dis-moi si je me trompe.)
Extrait des pages citées plus haut:

"shim devient alors la racine de confiance pour tous les autres programmes UEFI fournis par les distributions. Il incorpore une autre clé d'Autorité de Certification spécifique à la distribution qui est elle-même utilisée pour signer d'autres programmes (e.g. Linux, GRUB, fwupdate). Cela permet une délégation de confiance sûre - les distributions sont ensuite responsables de la signature du reste de leurs paquets. shim lui-même ne devrait idéalement pas avoir besoin d'être mis à jour très souvent, ce qui réduit la charge de travail des équipes centrales d'audit et d'AC."

wardidi

Adhérent(e)

Lieu : Bretagne

Distrib. : DF 12.4

Noyau : 6.1.0-13-amd64

Inscription : 28-11-2022

Re : [Résolu] Secure boot et Virtualbox

Bonjour Pomme,

Croutons et Raleur ont beaucoup plus d'expérience que moi.

Si ton problème est bien un problème de signature avec le secureboot à l'ouverture d'une VM regarde https://forum.ubuntu-fr.org/viewtopic.php?id=2076230.
Le dernier message donne la solution que j'utilisais sous ubuntu et qui fonctionne normalement sous debian.

èfpé

Membre

Inscription : 10-07-2016

Re : [Résolu] Secure boot et Virtualbox

C'est OK, mais j'ai des soucis avec VirtualBox (installé depuis leur serveur).

C'est-à-dire ? Tu as téléchargé puis installé leur fichier-paquet .deb ; ou tu as configuré leur dépôt ?

Concernant Fast Track, sais-tu si les paquets sont signés comme les paquets Debian ?

Les paquets Debian ne sont pas signés... Ce sont les dépôts qui le sont, via les fichiers (In)Release.
Note : le paquet fasttrack-archive-keyring est fourni par le dépôt Debian officiel, pas par Fast Track.

Pour le reste, tu as tout intérêt à installer VirtualBox depuis le dépôt Debian Fast Track (Croutons) :

1. les modules sont compilés et installés par DKMS et le seront à chaque upgrade du noyau,

2. les modules sont signés automatiquement par DKMS, l'enregistrement de la clé est trivial.

La première chose à faire est donc de purger le paquet virtualbox-7.0 provenant de virtualbox.org :

apt-get purge virtualbox-7.0

La procédure d'installation de VirtualBox ne pose aucune difficulté particulière, reporte-toi aux wikis.
La procédure d'enregistrement de la clé publique (certificat) est très bien décrite dans la doc DKMS :

apt-get install mokutil

mokutil --import /var/lib/dkms/mok.pub

Note : le guillemet est en trop, sur la doc... par contre les captures d'écran sont vraiment explicites.

Dernière modification par èfpé (17-02-2024 13:06:42)

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

Re : [Résolu] Secure boot et Virtualbox

Bonjour wardidi,
Je viens de tenter ta méthode, je n'ai pas eu d'erreur durant le processus, mais au reboot, j'ai le même problème lors du lancement d'une machine dans Virtualbox.
On me propose de faire :/sbin/vboxconfig en root, mais ça se termine en signalant que les modules ne sont pas signés... 
Merci à toi.

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

Re : [Résolu] Secure boot et Virtualbox

Bonjour èfpé

C'est-à-dire ? Tu as téléchargé puis installé leur fichier-paquet .deb ; ou tu as configuré leur dépôt ?

J'ai configuré leur dépôt.
Je vais tenter ta méthode pour voir si j'aurai plus de chance.
En fait, j'avoue ne pas comprendre le  bon déroulé des opérations:

mokutil --import /var/lib/dkms/mok.pub

Chez moi DKMS est installé mais il n'y a rien dans  /var/lib/dkms...
Merci à toi.

Dernière modification par pomme (09-02-2024 17:35:48)

pomme

Membre

Distrib. : Debian 12.5 bookworm

Noyau : Linux 6.1.0-20-amd64

(G)UI : Cinnamon

Inscription : 09-07-2016

Re : [Résolu] Secure boot et Virtualbox

Bonsoir à toutes et à tous,
Je viens de retenter le coup (après avoir nettoyé ce qui avait été fait précédemment) en suivant le mode opératoire des pages citées au #1 (the English one) qui semble plus complète.
J'ai navigué parmi les commandes proposées (je pense que précédemment je n'avais pas choisi les bonnes).
C'est OK.
Je me demandais si lors de la  mise en place d'un nouveau noyau, je ne devrai pas refaire les manips.
Il se trouve que ça a été le cas cet après-midi, le 6.1.0-18 a été proposé, suite à son installation et au redémarrage tout est encore OK.
Pouvez-vous me dire si ce qui est proposé et que j'ai mis en place est bien correct pour le futur?

Adding your key to DKMS
In order for dkms to automatically sign kernel modules, it must be told which key to sign the module with. This is done by adding two configuration values to "/etc/dkms/framework.conf", adjusting paths as required:
mok_signing_key="/var/lib/shim-signed/mok/MOK.priv"
mok_certificate="/var/lib/shim-signed/mok/MOK.der"

Le fichier en question existait, mais toutes les lignes étaient commentées.
Merci à vous.

Dernière modification par pomme (10-02-2024 17:58:00)