Fragen zum hp BIOS/UEFI Update unter secureblue

Support
,
1

Moin zusammen, auf meinem hp x360 läuft secureblue (und zwar großartig). Das Notebook könnte ein BIOS-Update bekommen, sagt hp auf der entsprechenden Website. Allerdings stellt hp das nur für Windows-Geräte bereit, Linux ist immer Bastelei.

Unter https://gist.github.com/eNV25/c8001491dc0440656ff7b0ae18993ba1 scheint es Schritte zu geben, die auf meinem Rechner auch laufen könnten. Eine ominöse Zeile dort lautet

If you have enabled Secure Boot with custom keys, you will first need to sign the HP-specific .efi files.

Ich hatte bei der Installation des OS ganz brav die Schritte unter https://secureblue.dev/post-install befolgt, wo es heißt:

The secureblue Secure Boot key should automatically enroll after installation, with the MOK password “secureblue”. If this fails or doesn’t appear for whatever reason, you can manually enroll the key with the command below.

ujust enroll-secureblue-secure-boot-key

Soviel zum Hintergrund. Und jetzt bitte die Hilfe:

  1. Muss ich in meiner Konstellation mit dem secureblue-Key dann irgendwas signieren?
  2. Falls 2 = ja, was passiert (vermutlich?), wenn ich das ignoriere?
  3. Kann mensch einen Secure-Boot-Key ”un-enrollen”?
  4. Falls 4 = ja, wäre dann “un-enrollen”, dann update, dann wieder enrollen eine gleichwertige Alternative zum Signieren der .efi-Datei?

Danke Euch :smiley:

2

Du darfst das Secure Boot eben NICHT enabeln, das scheint mir hier der Hauptpunkt zu sein. Solange Secure Boot abgeschaltet bleibt, sollte imho nichts passieren.

Wenn du allerdings den Update nur mit Windows durchführen kannst, dann würde ich an deiner Stelle den Aufwand scheuen. Überhaupt wenn bis jetzt alles funktioniert hat. Never touch a working system. Das BIOS macht wirklich nichts außer den Rechner booten. Sobald der Rechner mal gebootet ist, hat es eh nichts mehr zu tun.

Andererseits, wenn nach dem BIOS Update das neue BIOS meint, daß irgendwas nicht stimmt, könnts passieren, daß dein altes System nicht mehr bootet.

Ich denke BIOS Updates sind am wichtigsten in Umgebungen mit Netzwerk Boot Rechnern. Um von der internen Platte zu booten halte ich BIOS Updates für über flüssig.

1 „Gefällt mir“
3

Du meinst ich kann zwar den Key enrollen aber Secure Boot ausschalten?

Das wäre ja in der Tat noch eine Option - das könnte ich ja ggf. auch fürs Update aus- und danach wieder einschalten.

Es ist halt möglicherweise auch Firmware dabei, das könnte dann schon wichtiger sein.

Unabhängig davon, ob jetzt genau dieses Update kritisch ist (ist es nicht…), würde ich trotzdem gern verstehen, wie bzw. ob es gehen würde.

4

Da das ganze Wine erfordert, wäre die bessere Lösung eine minimale Windows-Installation mit Dual Boot einzurichten oder du deinstallierst Wine direkt nach dem Update wieder.

Probiere es einfach ohne extra Signierung. Ich vermute, dass die mit HPs oder Microsofts Schlüssel signiert sind, das sollte eigentlich funktionieren, außer du hast die extra deaktiviert.

1 „Gefällt mir“
5

Gehe ich da ein Risiko ein, das Gerät in einen Briefbeschwerer zu verwandeln?

Wine läuft in einer DistroBox und darf dort leise vor sich hin winen, bis die Box wieder zu ist.

6

Auf meinem Dell Notebook hat Fedora Workstation letztens auch ein BIOS/ Firmware-Update durchgeführt. Silverblue auf demselben Gerät hat das nicht gemacht. Dies nur als Hinweis auf eine eventuelle Windows-Alternative.

(OT: Auf dem Dell lief Silverblue übrigens wesentlich besser als auf meinem HP)

1 „Gefällt mir“