UEFI und Secure Boot unter Linux: Eine Einführung für Anfänger

    UEFI und Secure Boot unter Linux: Eine Einführung für Anfänger

    https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fw46lpoovw0p8gy25q17t.png

    Beim Einstieg in die Welt von Linux begegnen einem oft die Begriffe UEFI und Secure Boot. Dieser Artikel erklärt, was diese Technologien sind, wofür sie eingesetzt werden und warum die Deaktivierung von Secure Boot bei der Installation vieler Linux-Distributionen empfohlen wird.

    UEFI: Die moderne Firmware-Schnittstelle

    UEFI (Unified Extensible Firmware Interface) ist der Nachfolger des älteren BIOS (Basic Input/Output System). Es handelt sich um eine Schnittstelle zwischen der Hardware eines Computers und dem Betriebssystem.

    Funktionen und Vorteile von UEFI:

    • Schnellerer Systemstart: UEFI optimiert den Bootvorgang und ermöglicht so ein schnelleres Hochfahren des Computers.
    • Unterstützung großer Speichermedien: UEFI kann problemlos Festplatten mit sehr großen Kapazitäten verwalten.
    • Erweiterte Funktionalität: Im Vergleich zum BIOS bietet UEFI eine modernere Architektur, unterstützt grafische Oberflächen und ermöglicht fortschrittliche Sicherheitsfunktionen wie Secure Boot.
    • Modularität: Die modulare Bauweise von UEFI erleichtert Erweiterungen und Anpassungen.

    UEFI dient somit als eine fortschrittliche Grundlage für den Startprozess eines modernen Computers.

    Secure Boot: Schutz vor unautorisierter Software

    Secure Boot ist eine Sicherheitsfunktion, die häufig in UEFI integriert ist. Ihr Hauptzweck ist es sicherzustellen, dass beim Start des Computers nur Software mit einer gültigen digitalen Signatur geladen wird.

    Ziele und Einsatzbereiche von Secure Boot:

    • Abwehr von Schadsoftware: Secure Boot verhindert, dass bösartige Programme wie Rootkits oder Viren bereits während des Bootvorgangs aktiv werden können, indem es nur signierte und somit als vertrauenswürdig eingestufte Software zulässt.
    • Integritätssicherung: Die Funktion überprüft die Integrität wichtiger Systemkomponenten wie Bootloader, um sicherzustellen, dass diese nicht manipuliert wurden.

    Secure Boot fungiert somit als eine Art Frühwarnsystem, das die Integrität des Startvorgangs gewährleistet.

    Herausforderungen mit Secure Boot und Linux

    Obwohl Secure Boot eine wertvolle Sicherheitsfunktion darstellt, kann es bei der Verwendung vieler Linux-Distributionen zu Problemen führen. Dies liegt daran, dass Secure Boot primär im Kontext des Windows-Ökosystems entwickelt wurde und nicht alle Linux-Distributionen standardmäßig unterstützt.

    Problematische Aspekte:

    • Fehlende oder aufwendige Signierung: Viele Linux-Distributionen verfügen nicht über die notwendigen digitalen Signaturen, die von Secure Boot ohne zusätzliche Konfiguration erkannt werden.
    • Inkompatibilität mit proprietären Treibern: Einige Hardware-Treiber, die unter Linux eingesetzt werden, sind möglicherweise nicht signiert und werden daher von Secure Boot blockiert.
    • Eingeschränkte Systemflexibilität: Secure Boot kann die freie Wahl alternativer Bootloader oder älterer Kernel-Versionen erschweren.
    • Komplexität für Einsteiger: Die Konfiguration von Secure Boot für die Nutzung mit Linux kann für neue Anwender eine erhebliche Hürde darstellen.

    Empfehlung: Deaktivierung von Secure Boot für viele Linux-Distributionen

    Aufgrund der genannten Schwierigkeiten empfehlen viele Anleitungen und Linux-Gemeinschaften, Secure Boot im UEFI-Menü zu deaktivieren, bevor eine Linux-Distribution installiert wird. Die Deaktivierung von Secure Boot beeinträchtigt die grundlegende Sicherheit eines Linux-Systems in der Regel nicht, da Linux selbst über zahlreiche eigene Sicherheitsmechanismen verfügt.

    Deaktivierung von Secure Boot im UEFI

    Die Deaktivierung von Secure Boot erfolgt im UEFI-Setup. Dieses ist in der Regel beim Start des Computers über das Drücken einer bestimmten Taste (z.B. Entf, F2, F12) zugänglich. Im UEFI-Menü muss nach Optionen wie "Boot", "Security" oder "Authentication" gesucht werden. Dort findet sich die Einstellung für "Secure Boot", die auf "Disabled" oder "Aus" gestellt werden muss. Die genaue Bezeichnung und Position dieser Einstellung kann je nach Hersteller des Mainboards variieren.

    Für viele Linux-Einsteiger stellt die Deaktivierung von Secure Boot eine unkompliziertere Möglichkeit dar, mit der Installation und Nutzung ihres bevorzugten Betriebssystems zu beginnen, ohne sich zunächst mit den Feinheiten der Secure-Boot-Konfiguration auseinandersetzen zu müssen.

    Bildquelle

    Gut, gut. Da fehlt mir aber noch was. z.B, das der BitLocker abspackt, wenn man SecureBoot deaktiviert.... Ich würde da einfach noch etwas rumkritzeln und dann kommts zu den Artikeln.

    Meine Projekte:

    GuideOS Logo PiGro-Aid Logo

    Auf Linux seit 2003 | Python-Jünger| Wir reden ja hier über Computer, das sind Arbeitsgeräte und keine Religion.

    Gestatte mir auch den Hinweis, dass viele Hersteller oft nur ein „abgespecktes UEFI“ offerieren nach dem Motto „Nur MS Windows, sonst gar nichts“. Bei sowas verweigere ich den Support und lasse die Leute schmoren …

    Das ist gerade im Consumer-Markt der Fall, der oft genug „Geiz ist geil-Kundschaft“ bedienen muss.

    Der Artikel selbst ist gut gelungen; sollte aber um diese Punkte erweitert werden.

    terra PC-Micro 6000C GREENLINE von Wortmann AG mit Intel Core i5-1334U / Intel Iris Xe Graphics / SODIMM Samsung M425R2GA3PB0-CWM 2 x 16 GB = 32 GB / WD Red SN700 NVMe SSD - 500 GB x 2 = 1 TB / Mainboard Clevo R100AU mit UEFI von insyde Software

    Ich lasse den Thread noch 1-2 Tage offen, damit ihr euren Senf dazugeben könnt. Wenn der Senf hilfreich ist, kommt er in den Artikel :P

    Meine Projekte:

    GuideOS Logo PiGro-Aid Logo

    Auf Linux seit 2003 | Python-Jünger| Wir reden ja hier über Computer, das sind Arbeitsgeräte und keine Religion.

    ### 💻 **Laptops**

    | **Hersteller** | **Bootmenü-Taste** |
    | --------------------- | ------------------------------------- |
    | **Acer** | F12 (evtl. vorher im BIOS aktivieren) |
    | **ASUS** | ESC |
    | **Dell** | F12 |
    | **HP** | ESC → dann F9 |
    | **Lenovo (Consumer)** | F12 |
    | **Lenovo (ThinkPad)** | F12 |
    | **MSI (Laptop)** | F11 |
    | **Samsung** | ESC oder F12 |
    | **Toshiba** | F12 |
    | **Fujitsu** | F12 |
    | **Medion/ALDI** | F8 oder F10 (je nach Modell) |

    ---

    ### 🖥️ **Mainboards / Desktop-PCs**

    | **Mainboard-Hersteller** | **Bootmenü-Taste** |
    | ------------------------ | ------------------ |
    | **ASUS** | F8 |
    | **ASRock** | F11 |
    | **Gigabyte** | F12 |
    | **MSI** | F11 |
    | **Biostar** | F9 |
    | **Intel** | F10 |

    Meine Projekte:

    GuideOS Logo PiGro-Aid Logo

    Auf Linux seit 2003 | Python-Jünger| Wir reden ja hier über Computer, das sind Arbeitsgeräte und keine Religion.

    Quote from Actionschnitzel

    Gut, gut. Da fehlt mir aber noch was. z.B, das der BitLocker abspackt, wenn man SecureBoot deaktiviert....

    Na ja.. wenn ich zusätzlich Windows installiert habe ist SecureBoot ja eh notwendig. Und wenn ich eine Windows Installation mit deaktiviertem SecureBoot durchführe, weis ich ja was ich tue und was es für Bitlocker bedeutet. Und wenn ich schon so viel weis, nutze ich ganz bestimmt keine Microsoft Verschlüsselung.

    Also alles gut ;)

    Ryzen 5 5600G, 16 GB DDR4, Crucial P3 M.2 2TB, Deskmeet X300, Linux Mint 22.1 Cinnamon.
    Server Gigabyte Brix , Debian 11 + OMV

    Quote from Bleys

    Also alles gut ;)

    Wenn du wüsstest, :D:D:D du gehst von logischem Denken aus. Ich gehe davon aus, dass den Leuten erzählt wird, wie einfach es ist Linux zu installieren. Ich will gar nicht wissen, wie groß die Dunkelziffer an Leuten ist, die Linux installieren, ihre Festplatte versemmeln und dann direkt zum IT-Knecht gehen, ohne dass wir's mitbekommen.

    Meine Projekte:

    GuideOS Logo PiGro-Aid Logo

    Auf Linux seit 2003 | Python-Jünger| Wir reden ja hier über Computer, das sind Arbeitsgeräte und keine Religion.

    Ist das ein KI-generierter Text ?

    Oder ein Werbetext von Microsoft ?

    Frage: Welchen Vorteil bietet SecureBoot für Linux ?

    Das Hauptproblem ist aus meiner Sicht, dass man bei Kauf eines neuen Rechners nicht weiss, welche UEFI-Features der Hersteller des Geräts implementiert hat. Kurz gesagt, Rechner, wo man Secure Boot nicht ein- und ausschalten kann und ähnliches, was verhindern soll, dass andere OSe ausser Windows gestartet werden können, müsste klar und deutlich kenntlich gemacht sein (nachlesbar in der Produktspezifikation). Am Preis oder an der Marke kann der Laie das jedenfalls nicht erkennen.

    Quote from Neumann

    Das Hauptproblem ist aus meiner Sicht, dass man bei Kauf eines neuen Rechners nicht weiss, welche UEFI-Features der Hersteller des Geräts implementiert hat. Kurz gesagt, Rechner, wo man Secure Boot nicht ein- und ausschalten kann und ähnliches, was verhindern soll, dass andere OSe ausser Windows gestartet werden können, müsste klar und deutlich kenntlich gemacht sein (nachlesbar in der Produktspezifikation). Am Preis oder an der Marke kann der Laie das jedenfalls nicht erkennen.

    Den Meisten wird das wohl erst klar, wenn das Kind in den Brunnen gefallen ist.

    Ich würde, wenn ich etwas nagelneues kaufen wollte (was sicher nie geschehn wird),

    wohl Tuxedo in die nähere Wahl nehmen, weil ich da reale Ansprechpartner habe,

    die ich zu allen Themen befragen kann.

    Oder das Gerät im Mediamarkt direkt anschaun und testen und ansonsten da lassen.

    Ich habe 2 Notebooks. 1 Acer aus dem Jahr 2002 und 1 Acer aus 2020.
    Beide Notebooks verhalten sich in der Einstellung UEFI mit Secureboot völlig unterschiedlich.

    Auf dem alten Acer ist UEFI mit Secureboot eingestellt, da kann ich z.B. kein Linut Mint 22.1
    installieren, weil der Bootloader/GRUB nicht erstellt wird. Ohne Secureboot das Gleiche.
    Hingegen GuideOS oder MX-Linux funktionieren problemlos. Haben ja aber auch
    andere Installer.

    U.a. lässt sich Ventoy oder Boot Repair mit Secureboot nicht starten.

    Entweder liegt es an dem veralteten UEFI oder am Ubiquity-Installer.

    +++

    Auf meinen neueren Acer spielt die UEFI Einstellung keine Rolle, da geht alles.
    Hier geht auch Ventoy oder Boot Repair mit Secureboot.

    +++

    Am einfachsten geht es immer noch im CSM/Legacy Mode. Bis auf die
    Einschränkung der Parititionsgrößen und nur 4 Primärpartition. Das
    ist aber mit Erweiterer Partition auch kein Problem.

    Hab einen neuen PC eingerichtet (z640). Secure Boot und UEFI deaktiviert, wollte dann meine "alte" SSD starten. Ging nicht ;(

    Nach Stunden war ich so genervt, Standard geladen und LM Cinnamon neu installiert. Ging problemlos. Dieser Mist ist nicht so einfach wie beschrieben.

    Quote from Steffen

    Hab einen neuen PC eingerichtet (z640). Secure Boot und UEFI deaktiviert, wollte dann meine "alte" SSD starten. Ging nicht ;(

    Nach Stunden war ich so genervt, Standard geladen und LM Cinnamon neu installiert. Ging problemlos. Dieser Mist ist nicht so einfach wie beschrieben.

    Ja, das geht nur bedingt. Wenn alle Treiber/Firmware aus dem Kernel kommen kann das klappen, wenn noch andere Sachen installiert sind wirds knapp.


    Kyrindorx ich glaube wir weiten das Thema des Artikels aus zu: "Linux ist gar nicht so einfach zu installieren wie alle sagen."

    Meine Projekte:

    GuideOS Logo PiGro-Aid Logo

    Auf Linux seit 2003 | Python-Jünger| Wir reden ja hier über Computer, das sind Arbeitsgeräte und keine Religion.

    Vielleicht bin ich ja hier die einzige Blöde, die zu langsam ist, das UEFI aufzurufen. Ich habe es garade an meinem ASUS ausprobiert. Ich bekomme das nur hin, wenn ich in den Windowseinstellungen in den Energieverwaltungen den Schnellstart deaktiviere, dann geht das mit F2 ganz easy. Kann ich jetzt nicht einschätzen, ob das in einem Artikel für Anfänger vielleicht erwähnenswert wäre.

    Quote from Bleys

    Na ja.. wenn ich zusätzlich Windows installiert habe ist SecureBoot ja eh notwendig. Und wenn ich eine Windows Installation mit deaktiviertem SecureBoot durchführe, weis ich ja was ich tue und was es für Bitlocker bedeutet. Und wenn ich schon so viel weis, nutze ich ganz bestimmt keine Microsoft Verschlüsselung.

    Ja gut, du weist das - ich (noch) nicht so richtig.😳

    Auf meiner Wunschliste stünde da eine einfache Erklärung für Anfänger was SecureBoot, Bitlocker, TPM angeht ganz weit oben. Besonders in Bezug auf Dualboot Win/Linux. Ich kann mir da zwar vieles von verschiedenen Stellen zusammenrecherchieren, aber die Zusammenhänge und was passiert wenn dies und das und jenes - macht mir regelmäßig Knoten ins Gehirn. Und außerdem: wenn es hier im Forum steht, weis ich, dass es kein Unsinn ist.

    Hallo Freydis ich denke Actionschnitzel sieht sich die Beiträge an und wird den Artikel nochmal anpassen. Er sagte ja: "Wenn guter Inhalt ergänzt wird, kann dieser beim finalen Artikel berücksichtigt werden." Ich bin nur Author von Version 1. Nach Review und Rückfragen ändert sich meistens noch der Inhalt - das ist völlig normal.

    Kurzum: Wenn du Infos hast oder offene Fragen, dann stelle diese einfach hier :)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login