cClaude.rocks ☕ Le blog

[Nouvelles technologies, sciences et coups de gueule…]

Menu

La version 7 de VirtualBox est sortie depuis quelque temps déjà puisque l’écriture de cet article se base sur la version 7.0.6.

Une nouvelle interface, qui est à la fois très gadget, mais qui perdure dans la clarification des fonctionnalités secondaires, comme le réseau ou la gestion de l’USB.

Quelques corrections, en particulier sur une régression autour de l’intégration de la souris.

Et le support de « Secure Boot »…



Comment savoir si « Secure Boot » est activé ?

  • « Secure QUOI ? »

    Bon, OK, on va peut-être commencer par ça :

    Secure Boot est un processus de sécurité permettant se protéger contre les malwares au moment du démarrage du système.

    Si vous voulez en savoir plus, avec un article assez simple : « Secure Boot »…

    Si vous voulez des explications plus complète, vous devrez vous intéresser à la norme UEFI qui succède au BIOS.

mokutil est un outil pour importer ou supprimer les clés propriétaires des machines (MOK « Machines Owner Keys ») stockées dans la base de données shim.

  • Explication simplifiée de Shim

    Il s’agit d’une bibliothèque qui intercepte de manière transparente les appels d’API et modifie les arguments passés, gère l’opération elle-même ou redirige l’opération ailleurs.

    Les shims peuvent être utilisés pour prendre en charge une ancienne API dans un environnement plus récent ou une nouvelle API dans un environnement plus ancien.

    Les shims peuvent également être utilisés pour exécuter des programmes sur des plates-formes logicielles différentes de celles pour lesquelles ils ont été développés.

mokutil permet également de savoir si « Secure Boot » est activé. Cette commande fait partie du paquet mokutil.

mokutil --sb-state


VirtualBox 7 et « Secure Boot »

Si vous lancer VirtualBox 7 sur votre Linux avec Secure Boot actif, vous vous retrouverez avec un message d’erreur qui vous demandera de lancer la commande vboxconfig depuis un terminal.

sudo vboxconfig

Et voici ce que vous obtiendrez :


  ┌──────────────────────────────────────────┤ Configuring Secure Boot  ├──────────────────────────────────────────┐
  │                                                                                                                │
  │ Your system has UEFI Secure Boot enabled.                                                                      │
  │                                                                                                                │
  │ UEFI Secure Boot requires additional configuration to work with third-party drivers.                           │
  │                                                                                                                │
  │ The system will assist you in configuring UEFI Secure Boot. To permit the use of third-party drivers, a new    │
  │ Machine-Owner Key (MOK) has been generated. This key now needs to be enrolled in your system's firmware.       │
  │                                                                                                                │
  │ To ensure that this change is being made by you as an authorized user, and not by an attacker, you must choose │
  │ a password now and then confirm the change after reboot using the same password, in both the "Enroll MOK" and  │
  │ "Change Secure Boot state" menus that will be presented to you when this system reboots.                       │
  │                                                                                                                │
  │ If you proceed but do not confirm the password upon reboot, Ubuntu will still be able to boot on your system   │
  │ but any hardware that requires third-party drivers to work correctly may not be usable.                        │
  │                                                                                                                │
  │                                                    <Ok>                                                        │
  │                                                                                                                │
  └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘

En français cela donne:

Le démarrage sécurisé UEFI est activé sur votre système.

UEFI Secure Boot nécessite une configuration supplémentaire pour fonctionner avec des pilotes tiers.

Le système vous aidera à configurer « UEFI Secure Boot ». Pour permettre l’utilisation de pilotes tiers, une nouvelle clé de propriétaire de machine (MOK) a été générée. Cette clé doit maintenant être enregistrée dans le micrologiciel de votre système.

Pour vous assurer que ce changement est effectué par vous en tant qu’utilisateur autorisé, et non par un attaquant, vous devez choisir un mot de passe maintenant, puis confirmer le changement après le redémarrage en utilisant le même mot de passe, à la fois dans « Enroll MOK » et « Change Secure Boot state » qui vous seront présentés lorsque ce système redémarrera.

Si vous continuez mais ne confirmez pas le mot de passe au redémarrage, Ubuntu pourra toujours démarrer sur votre système, mais tout matériel nécessitant des pilotes tiers pour fonctionner correctement peut ne pas être utilisable.

Pour faire fonctionner VirtualBox 7 vous avez donc 2 possibilités :

  • Désactiver « Secure Boot » depuis l’interface UEFI de votre machine (avant le démarrage de votre système, l’ancien BIOS),
  • Ou lancer la procédure de configuration.

Si vous souhaitez aller vite, il y a peu de doute la bonne solution est de désactiver « Secure Boot », car il y a peu de chance pour que la configuration passe correctement du premier coup.

Dans mon cas, cela m’a obligé à aller régler des problèmes dans ma séquence de démarrage. Et là, on peut tirer des problèmes les uns après les autres.

Si votre machine est ancienne, et qu’aucune mise à jour de votre BIOS/UEFI n’est disponible, vous n’aurez probablement pas le choix.

Au passage, puisque vous allez devoir faire un tour dans la configuration UEFI, assurez-vous que les options liées à la Virtualisation soient bien activées.



Je suis téméraire et je garde « Secure Boot »

Suite à l'excution de vboxconfig, vous aurez très probablement un message qui vous indiquera un problème, dans mon cas :

vboxdrv.sh: Stopping VirtualBox services.
vboxdrv.sh: Starting VirtualBox services.
vboxdrv.sh: You must sign these kernel modules before using VirtualBox:
  vboxdrv vboxnetflt vboxnetadp
See the documentation for your Linux distribution..
vboxdrv.sh: Building VirtualBox kernel modules.
vboxdrv.sh: Signing VirtualBox kernel modules.
vboxdrv.sh: failed: modprobe vboxdrv failed. Please use 'dmesg' to find out why.

There were problems setting up VirtualBox.  To re-start the set-up process, run
  /sbin/vboxconfig
as root.  If your system is using EFI Secure Boot you may need to sign the
kernel modules (vboxdrv, vboxnetflt, vboxnetadp, vboxpci) before you can load
them. Please see your Linux system's documentation for more information.

Il suffit donc de lancer dmesg comme indiqué et là votre moteur de recherche favori sera votre meilleur ami.





Liens

ᦿ


ℹ 2006 - 2023 | 🏠 Accueil du domaine | 🏡 Accueil du blog