SecureDKMS

[phd_ru]

Ставлю на новый ноутбук xserver-nvidia, а он тащит за собой драйвер nvidia для DKMS… А DKMS-то не работает! У меня же SecureBoot.

Надо думать — то ли SecureBoot суметь отключить, то ли ключ подписи для DKMS создать, то ли отказаться от nvidia, поставить xorg-vesa.

Отключить SecureBoot самое правильное, но и самое сложное. Ключ подписи проще всего, но на фиг не нужен же. Вот блин горелый…

Upd. Отключил SecureBoot — Debian загрузился, драйвера nvidia загрузились. Внимательно чтение lspci показало, что есть встроенная видеокарта Intel UHD 630. В спецификации ноута её не было. :-D

Upd2, 24.03. Настроил Иксы в режиме vesa. Завтра буду пробовать video-intel.

Upd3, 25.03. После всех настроек Иксов драйвер video-intel запустился без дополнительной работы. Просто раз, и запустился. Графика работает, видео пока не проверял, но куда оно теперь денется? Ноутбук готов, буду переезжать.

Comments

/usr/sbin/update-secureboot-policy

[vazhnov]

Я при установке VirtualBox заметил, что он сам генерирует ключ, кладёт его в /var/lib/shim-signed/mok/MOK.priv и прописывает в UEFI с помощью /usr/sbin/update-secureboot-policy --enroll-key (потом ещё надо будет придумать пароль и перезагрузиться).
Попробуйте погуглить про этот скрипт.

Re: /usr/sbin/update-secureboot-policy

[phd_ru]

Это у Вас Ubuntu. А у меня Debian, в нём это наверняка по-другому делается.

Re: /usr/sbin/update-secureboot-policy

[vazhnov]

Этот скрипт из пакета shim-signed, он доступен в Debian 10: https://tracker.debian.org/pkg/shim-signed

Тут рекомендуют делать по старинке вручную, я тоже когда-то так делал, работало: https://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Key

Если /usr/sbin/update-secureboot-policy у вас заработает — напишите, пожалуйста, я обновлю wiki. Ну или сами обновите.

Re: /usr/sbin/update-secureboot-policy

[phd_ru]

Спасибо! Я подумаю над этим вариантом.

[phd_ru]

Отключил SecureBoot — Debian загрузился, драйвера nvidia загрузились. Эксперименты с MOK отменяются. Извините. :-)

[gegmopo4]

nouveau?

[phd_ru]

blacklist'ed: https://phd-ru.dreamwidth.org/318213.html

Интернет говорит, на ноутбуках работает очень плохо.

[vitus_wagner]

Покупать ноутбку с nvidia и пользоваться драйвером vesa?!!! Денег-то не жалко?

Вообще, конечно, правильно разобраться как подписывать модули к ядру. Тем более что при беглом гуглеже я там увидел очень правильный термин machine owner key.

Конечно, до повсеместного внедрения bsign нам еще очень и очень далеко, но это шаг в правильном направлении.

[phd_ru]

Я не покупал ноутбк с nvidia. Я купил ноутбук с максимальной мощностью и частотой процессора, с максимальным объёмом и частотой памяти, с максимальным объёмом SSD и минимальной ценой. Nvidia ко всему этому шла в нагрузку.

Денег жалко ужасно, но где выход? Я бы вообще купил ноут без дискретной карты, с одним встроенным интелем. Но не продают. Либо две карты, либо одна дискретная. Потому что мощный ноут — игровой.

[vitus_wagner]

Как писал Розов: «Это твой добряк, и он должен делать то, что про него написано. Иначе получится, что тебя напарили.» А в подписи кода нет ничего сложного, если один раз понять общую концепцию.

[phd_ru]

Розов как всегда ошибается. Это не мой ноутбук, это ноутбук того, кто решил, что без SecureBooot он не загрузится. Теперь я должен жить по его правилам.

В подписи кода наверняка нет ничего сложного, особенно для человека, программы которого подписывают и проверяют подпись в XML. Я же не только в медицине работаю.

Я просто не хочу в этом разбираться и идти на поводу владельца ноутбука. Это только в крайнем случае. «Если тебе дают тетрадь в линейку — ищи, как отключить SecureBoot.»

[phd_ru]

Отключил SecureBoot — Debian загрузился, драйвера nvidia загрузились.

Внимательно чтение lspci показало, что есть встроенная видеокарта Intel UHD 630. В спецификации ноута её не было. :-D