"fwupdmgr update"가 1(오류)로 종료됩니다.

tag-icon tag-icon linux linux-mint firmware fwupdmgr
"fwupdmgr update"가 1(오류)로 종료됩니다.

을 실행 LinuxMint21하고 을 실행하면 fwupdmgr update1(오류)로 종료됩니다. 하지만 위의 내용에는 오류가 없습니다 STDERR. 어떤 단서가 있나요?

내 시스템은 최신 상태입니다.

$ uname -a
Linux box 5.15.0-67-generic #74-Ubuntu SMP Wed Feb 22 14:14:39 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux


# tree /boot/efi/
/boot/efi/
└── EFI
    ├── BOOT
    │   ├── BOOTX64.EFI
    │   ├── fbx64.efi
    │   └── mmx64.efi
    ├── debian
    │   ├── BOOTX64.CSV
    │   ├── fbx64.efi
    │   ├── grub.cfg
    │   ├── grubx64.efi
    │   ├── mmx64.efi
    │   └── shimx64.efi
    └── ubuntu
        ├── BOOTX64.CSV
        ├── fw
        │   └── fwupd-0123456789abcdef.cap
        ├── fwupdx64.efi
        ├── grub.cfg
        ├── grubx64.efi
        ├── mmx64.efi
        └── shimx64.efi

5 directories, 16 files

그리고

# fwupdmgr update
Devices with no available firmware updates: 
 • UEFI Device Firmware
 • UEFI Device Firmware
 • UEFI Device Firmware
Devices with the latest available firmware version:
 • MZVLB512HBJQ-000L7
 • System Firmware
╔══════════════════════════════════════════════════════════════════════════════╗
║ Upgrade UEFI dbx from 77 to 217?                                             ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the dbx to the latest release from Microsoft which adds         ║
║ insecure versions of grub and shim to the list of forbidden signatures due   ║
║ to multiple discovered security updates.                                     ║
║                                                                              ║
║ Before installing the update, fwupd will check for any affected executables  ║
║ in the ESP and will refuse to update if it finds any boot binaries signed    ║
║ with any of the forbidden signatures.If the installation fails, you will     ║
║ need to update shim and grub packages before the update can be deployed.     ║
║                                                                              ║
║ Once you have installed this dbx update, any DVD or USB installer images     ║
║ signed with the old signatures may not work correctly.You may have to        ║
║ temporarily turn off secure boot when using recovery or installation media,  ║
║ if new images have not been made available by your distribution.             ║
║                                                                              ║
║ UEFI dbx and all connected devices may not be usable while updating.         ║
╚══════════════════════════════════════════════════════════════════════════════╝

Perform operation? [Y|n]: 
Downloading…             [***************************************]
Downloading…             [***************************************]
Decompressing…           [***************************************]
Decompressing…           [***************************************]
Authenticating…          [***************************************]
Authenticating…          [***************************************]
Restarting device…       [***************************************]
Writing…                 [***************************************]
Decompressing…           [***************************************]
Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/EFI/debian/shimx64.efi Authenticode checksum [0123456789abcdef] is present in dbx

그리고:

# fwupdmgr --version
runtime   org.freedesktop.fwupd         1.7.9
runtime   com.dell.libsmbios            2.4
compile   org.freedesktop.gusb          0.3.10
runtime   org.kernel                    5.15.0-67-generic
compile   com.hughsie.libjcat           0.1.9
compile   org.freedesktop.fwupd         1.7.9
runtime   org.freedesktop.gusb          0.3.10

오류는 바로 거기에 있습니다:

# fwupdmgr get-upgrades
└─UEFI dbx:
  │   Device ID:          0123456789abcdef
  │   Summary:            UEFI revocation database
  │   Current version:    77
  │   Minimum Version:    77
  │   Vendor:             UEFI:Linux Foundation
  │   Install Duration:   1 second
  │   Update State:       Transient failure
  │   Update Error:       Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/EFI/debian/shimx64.efi Authenticode checksum [0123456789abcdef] is present in dbx

답변1

ESP에서 실행 파일이 차단되었습니다. grub 및 shim이 최신인지 확인하세요: /boot/efi/EFI/debian/shimx64.efi

shimx64.efi이 보안 부팅 해지 데이터베이스 업데이트에서 이제 블랙리스트에 추가될 이전 버전이 있음을 알려줍니다 . 즉, 업데이트가 설치된 경우 데비안 설치를 시작하려면 보안 부팅을 비활성화해야 할 수도 있습니다.

하지만 /boot/efi/EFI/debian사용하지 않는 경우(예를 들어 Debian을 Mint로 교체했고 디렉터리가 이전 데비안 설치의 마지막 남은 부분인 경우) 간단히 디렉터리를 삭제 /boot/efi/EFI/debian하고 fwupdmgr update오류 없이 계속할 수 있습니다.

이 명령은 디렉토리가 의도적으로 거기에 남아 있는지 또는 이전에 덮어쓴 설치의 남은 것인지 fwupdmgr판단할 만큼 똑똑하지 않으므로 최대 보안을 위해 업데이트 프로세스를 중지합니다./boot/efi/EFI/debian

Linux Mint는 Ubuntu를 기반으로 하기 때문에 자체적인 완전한 시작 파일 세트를 가지고 있습니다 /boot/efi/EFI/ubuntu. 따라서 이 /boot/efi/EFI/debian디렉토리를 삭제해도 Mint 설치에는 아무런 영향이 없습니다.

그러나 더 확실하게 확인하려면 sudo efibootmgr -v해당 행으로 식별된 부팅 항목이 BootCurrent:실제로 참조된 항목 \EFI\ubuntu\shimx64.efi이 아니라 참조된 항목 인지 확인해야 합니다 \EFI\debian\shimx64.efi. 출력에 Debian에 대한 참조가 포함되어 있고 sudo efibootmgr -v이를 제거하려면 다음 efibootmgr명령을 사용하여 해당 매뉴얼 페이지의 예를 참조하세요.

이 UEFI dbx(= 보안 부팅 취소 목록) 업데이트는 다음과 같습니다.2020년 7월 BootHole 취약점이후 관련 취약점 그룹을 발견했습니다. 현재까지 모든 배포판은 필요에 따라 취약한 부트로더 구성 요소를 이미 교체했습니다.UEFI 포럼은 이제 업데이트된 해지 목록을 게시했습니다.이렇게 하면 취약한 부트로더 버전이 실행되지 않습니다.

관련 정보