fwupdmgr를 통해 UEFI dbx(보안 부팅 차단 목록) 업데이트
관리를 위한 서버 접속 후
장치 1개의 펌웨어를 업데이트할 수 있습니다.
더 많은 정보를 보려면 fwupdmgr get-upgrades 명령을 실행하십시오. 이런 메시지가 똭….
~]# fwupdmgr get-upgrades
경고: UEFI ESP 파티션이 감지되지 않았거나 설정되지 않았음
자세한 정보는 https://github.com/fwupd/fwupd/wiki/PluginFlag:esp-not-found 사이트를 참조하십시오.
펌웨어 업데이트를 사용할 수 없는 장치:
.........
.........
설명:
This updates the list of forbidden signatures (the "dbx") to the latest release from Microsoft.
An insecure version of Howyar's SysReturn software was added, due to a security vulnerability that allowed an attacker to bypass UEFI Secure Boot.
문제점: CVE-2024-7344
529659
체크섬: d661d4a0aaca09dfa9e56967ca2467b0575fc07cb704d182fa8c68225452957f대략 이런….
이 경고는 시스템에 실제 ESP(EFI 시스템 파티션)가 없어서 발생하는 것이 아니라, fwupd 서비스가 ESP 파티션이 어디에 마운트 되어 있는지 찾지 못할 때 주로 발생하고. 펌웨어 업데이트 파일(캡슐)을 ESP에 써야 하는데 경로를 모르는 상태이다.
1. ESP 파티션 마운트 확인
2. udisks2 서비스 상태 확인
3. fwupd 설정에서 ESP 경로 강제 지정
4. 보안 부팅(Secure Boot) 및 EFI 변수 확인
~]# mount | grep /boot/efi
/dev/nvme0n1p1 on /boot/efi type vfat (rw,relatime,fmask=0077,dmask=0077,codepage=437,iocharset=ascii,shortname=winnt,errors=remount-ro)
~]# systemctl status udisks2
Unit udisks2.service could not be found.
~]# ll /etc/fwupd/uefi_capsule.conf
ls: '/etc/fwupd/uefi_capsule.conf'에 접근할 수 없음: 그런 파일이나 디렉터리가 없습니다
~]# [ -d /sys/firmware/efi ] && echo "UEFI 모드" || echo "Legacy 모드"
UEFI 모드
# 만약 "Legacy 모드"라고 나온다면 UEFI 업데이트인 dbx 업데이트를 진행할 수 없다.
~]# dnf install udisks2
~]# ll /etc/fwupd/fwupd.conf
-rw-r-----. 1 root root 51 2025년 7월 11일 /etc/fwupd/fwupd.conf
# [uefi_capsule] 섹션 아래의 EspLocation=/boot/efi 추가 입력.
~]# vi /etc/fwupd/fwupd.conf
[uefi_capsule]
EspLocation=/boot/efi
# 둘 다 한꺼번에 시작 및 활성화
~]# systemctl enable --now udisks2 fwupd
# 상태 확인
~]# systemctl status udisks2 fwupd
