故障ubuntu更新固件uefi dbx 217

Question

我试图更新我的ubuntu固件，但我遇到了一个问题：

在ESP中阻止可执行文件，确保grub和shim是最新的:/boot/efi/efi.Factory/boot/bootx64.efiAuthenticode校验和2ea4cb6a1f1eb1d3dce82d54fde26ded243ba3e18de7c6d211902a594fe56788存在于dbx中。

以下是更新的详细信息：

217版本:这会将dbx更新到Microsoft的最新版本，该版本将grub和shim的不安全版本添加到由于多次发现的安全更新而被禁止的签名列表中。

在安装更新之前，fwupd将检查ESP中任何受影响的可执行文件，如果发现任何用禁止签名签名的引导二进制文件，它将拒绝更新。如果安装失败，则需要在部署更新之前更新shim和grub包。

安装此dbx更新后，任何用旧签名签名的DVD或USB安装程序映像都可能无法正常工作。如果发行版没有提供新的映像，则在使用恢复或安装媒体时，您可能不得不暂时关闭安全引导。

版本211:它将dbx更新为Microsoft的最新版本，该版本将grub和shim的不安全版本添加到由于多次发现的安全更新而被禁止的签名列表中。

版本190:这会将dbx更新到Microsoft的最新版本，Microsoft将grub和shim的不安全版本添加到禁止签名列表中，这是因为发现了多个安全更新。

Answer 1

这种情况通常发生在需要手动更新的旧efi文件上。以下是fwupd维基页面的摘录

在我的例子中，更新抱怨的文件是/boot/efi/EFI/BOOT/bkpbootx64.efi。我发现该文件比同一目录中的其他文件要早一年。一项网络搜索显示，该文件是“由Boot定期创建的备份”。引导修复是一个第三方程序，设计用于Ubuntu，并且在Ubuntu--如Linux等衍生产品上--谨慎使用。我在薄荷糖上，用过这个程序。我删除了备份文件，即/boot/efi/EFI/BOOT/bkpbootx64.efi。我让fwupd做更新。我重新启动了fwupd，几乎没有显示已经完成了更新，但是运行fwupd再次表明更新确实已经执行；而且我的系统似乎继续工作得很好。另一个用户发现了以下内容。“我的问题是，我以前安装的/boot/efi/EFI/ubuntu很旧。我正在运行Fedora。所以非常老的ubuntu组件没有被更新，从而阻止了UEFI的更新。”

错误消息通常告诉您有问题的efi文件的名称：

Blocked executable in the ESP, ensure grub and shim are up to date: /boot/efi/efi.factory/boot/bootx64.efi Authenticode checksum [2ea4cb6a1f1eb1d3dce82d54fde26ded243ba3e18de7c6d211902a594fe56788] is present in dbx

文件名：/boot/efi/efi.factory/boot/bootx64.efi

您可以删除此文件，然后再次更新fwupdmgr。

sudo fwupdmgr refresh --force
sudo fwupdmgr update

这会要求你重新启动。重新启动后，如果再次检查，您将看到更新已经安装。