Aktualizace FIRMWARE v LINUXU (fwupd + LVFS) - LINUX PRO DOMÁCNOST

Částečně. Automatické je pravidelné obnovování metadat (lze zapnout časovačem fwupd-refresh.timer) a zobrazení upozornění v GUI. Samotná aktualizace firmwaru se bez potvrzení neprovádí; typicky se naplánuje a provede při restartu (offline update). wiki.archlinux.org. manpages.debian.org.

Poznámka: ESRT (EFI System Resource Table) je standardní tabulka používaná v UEFI, která identifikuje firmwarové komponenty (např. BIOS, řadiče) systému, a umožňuje tak operačnímu systému a aplikacím cílit na jejich aktualizace. Každý záznam v ESRT, identifikovaný jedinečným GUID, popisuje jeden aktualizovatelný zdroj firmwaru.

# 1) Nainstalovat fwupd (pokud chybí)

sudo apt install fwupd

# 2) Zapnout periodický refresh metadat (doporučeno)

sudo systemctl enable --now fwupd-refresh.timer

systemctl status fwupd-refresh.timer

# 3) Zjistit zařízení a jejich stav podpory

sudo fwupdmgr get-devices

# 4) Natáhnout čerstvá metadata

sudo fwupdmgr refresh --force

# 5) Zjistit dostupné aktualizace

sudo fwupdmgr get-updates

# 6) Spustit aktualizaci (většinou vyžaduje restart)

sudo fwupdmgr update

# 1) Nainstalovat fwupd

sudo dnf install fwupd

# 2) Zapnout pravidelnou obnovu metadat (doporučeno)

sudo systemctl enable --now fwupd-refresh.timer

systemctl status fwupd-refresh.timer

# 3) Ověřit detekovaná zařízení

sudo fwupdmgr get-devices

# 4) Stáhnout čerstvá metadata z LVFS

sudo fwupdmgr refresh --force

# 5) Zjistit dostupné aktualizace

sudo fwupdmgr get-updates

# 6) Aktualizovat (většinou vyžaduje restart)

sudo fwupdmgr update

D-Bus je bezplatný a svobodný systém pro komunikaci mezi procesy (IPC), který funguje jako "virtuální sběrnice" umožňující různým aplikacím a systémovým službám na jednom počítači snadno a bezpečně si vyměňovat data a volat funkce. Vyvinutý jako součást projektu freedesktop.org, D-Bus je klíčovou technologií pro moderní desktopová prostředí Linuxu, včetně GNOME a KDE, a používá se pro věci jako jsou upozornění na desktopu, ovládání médií a správa hardwaru.

# 1) Instalace (doporučuji i průběžný update systému)

sudo pacman -Syu fwupd

# 2) Zapnout pravidelnou obnovu metadat

sudo systemctl enable --now fwupd-refresh.timer

systemctl status fwupd-refresh.timer

# 3) Ověřit zařízení a dostupné aktualizace

sudo fwupdmgr get-devices

sudo fwupdmgr refresh --force

sudo fwupdmgr get-updates

# 4) Spustit aktualizaci

sudo fwupdmgr update

Poznámka: Na Arch-rodině je fwupd také standardem; GUI (Discover) nad tím umí totéž. wiki.archlinux.org.

Tipy pro bezpečnou aktualizaci

• Připojte napájení (u notebooku).
• Neodpojujte zařízení během flashování.
• U šifrovaných instalací (LUKS) je update v pořádku, počítejte ale s jedním restartem.
• Pokud uvidíte hlášku typu „UEFI capsule updates not available/enabled“, může jít o stroj bez ESRT/UEFI podpory — u velmi starého HW se UEFI/BIOS často musí updatovat výrobcem jinou cestou. GitHub. (DOS/Windows utilita). Wikipedia.

Řešení problémů (rychlá pomoc)

Stálé připomínání stejného updatu / „Pending update“

Změny se neaplikují po restartu (dbx se „nechce“ nainstalovat)

Zorin 17 vychází z Ubuntu, takže výše uvedené příkazy fungují beze změny; firmware najdete i v GNOME Software. Pokud by se v Zorinu nějaký update „zasekl“, postup s pending.db obvykle pomůže. Zorin Help.

sudo rm /var/lib/fwupd/pending.db

sudo fwupdmgr refresh

Krátce a prakticky:

• Co to je: standardizovaná tabulka v UEFI firmwaru, kterou firmware poskytne operačnímu systému. Popisuje „zdroje firmwaru“, které lze aktualizovat (např. systémový UEFI, ME/AMT, Thunderbolt ap.). Pro každý zdroj uvádí GUID, aktuální verzi, nejnižší podporovanou verzi, příznaky pro kapsle a stav posledního pokusu o update. Microsoft Learn.
• K čemu slouží: OS (Windows i Linux/fwupd) podle ESRT pozná, co lze aktualizovat a na co smí cílit UEFI „capsule“ update. Pokud ESRT pro danou komponentu existuje a odpovídá GUID v kapsli, může se update naplánovat a nainstalovat při restartu. Embedded Computing Design.
• Kde to uvidíte v Linuxu: ls /sys/firmware/efi/esrt/entries/ – u strojů s ESRT tam najdeš položky pro updatovatelné komponenty. (fwupd je z nich čte a zobrazuje jako „UEFI System Resource Table device“ apod.) blog.3mdeb.com.
• Když ESRT chybí: systémový UEFI se kapslemi přes OS typicky aktualizovat nepodaří (fwupd pak nabídne jen to, co umí přes jiné mechanismy – SSD, doky, periferie). U starých PC tak bývá nutná „ruční“ metoda výrobce. Dell.

Diagnostika - Jak ověřit, že má Váš počítač ESRT (CLI + GUI)

1) Rychlá kontrola v terminálu (platí pro všechny distribuce)

# a) Běží systém v režimu UEFI?

test -d /sys/firmware/efi && echo "UEFI: ANO" || echo "UEFI: NE"

# b) Je k dispozici ESRT tabulka?

test -d /sys/firmware/efi/esrt && echo "ESRT: ANO" || echo "ESRT: NE"

# c) Kolik ESRT položek našel kernel?

cat /sys/firmware/efi/esrt/fw_resource_count 2>/dev/null || echo "N/A"

# d) Vypsat první ESRT položku (pokud existuje)

for e in /sys/firmware/efi/esrt/entries/entry*; do

 [ -d "$e" ] || continue

 echo "--- $e ---"

 cat "$e/fw_type" "$e/fw_class" "$e/fw_version" "$e/lowest_supported_fw_version" 2>/dev/null

done

Co tím ověřujete:

• přítomnost /sys/firmware/efi/esrt/ znamená, že firmware poskytl EFI System Resource Table (ESRT) a kernel ji zpřístupnil do sysfs; položky entries/entryN obsahují GUID zařízení, aktuální verzi, nejnižší podporovanou verzi a příznaky kapslí. kernel.googlesource.com.
  

Tip: Jestliže se ESRT v sysfs neobjeví, firmware ji neposkytl, nebo neběžíte v UEFI režimu (Legacy/CSM). V takovém případě update systémového UEFI kapslemi přes OS typicky neproběhne. kernel.googlesource.com

2) Ověření přes fwupdmgr (CLI)

# stáhnout čerstvá metadata a vypsat zařízení

sudo fwupdmgr refresh --force

sudo fwupdmgr get-devices

• Pokud je ESRT k dispozici, uvidíte zařízení typu “UEFI Device Firmware” / “UEFI System Firmware” (případně také “UEFI dbx”). fwupd čte minimální údaje z ESRT (GUID, verzi, stav posledního pokusu) a zpřesňuje je po stažení metadat z LVFS. fwupd.
  

3) Kontrola v GUI (GNOME/KDE)

4) Když ESRT chybí (co dělat)

test -d /sys/firmware/efi; echo $?

# 0 = UEFI, 1 = ne-UEFI

nebo:

[ -d /sys/firmware/efi ] && echo "UEFI: ANO" || echo "UEFI: NE"

[ -d /sys/firmware/efi/esrt ] && echo "ESRT: ANO" || echo "ESRT: NE"

cat /sys/firmware/efi/esrt/fw_resource_count 2>/dev/null || echo "ESRT není k dispozici"

Rychlý souhrn do jedné obrazovky

if [ -d /sys/firmware/efi ]; then

 echo "UEFI: ANO"

 if [ -d /sys/firmware/efi/esrt ]; then

   echo -n "ESRT: ANO, položek: "

   cat /sys/firmware/efi/esrt/fw_resource_count

 else

   echo "ESRT: NE"

 fi

else

 echo "UEFI: NE (pravděpodobně legacy/CSM boot)"

fi

sudo fwupdmgr refresh --force

sudo fwupdmgr get-devices | sed -n '1,120p'# Hledejte řádky typu: "UEFI System Firmware" / "UEFI dbx"

Tenhle „rozpor“ má obvykle jednu z těchto příčin:

1. Soubor vs. adresář:

[ -d /sys/firmware/efi/esrt ] testuje jen existenci adresáře. Ten může existovat, i když v něm chybí atributy (soubor fw_resource_count apod.).

Tj. první test řekne „ESRT: ANO“, ale cat /sys/firmware/efi/esrt/fw_resource_count selže, protože ten konkrétní soubor tam není.

2. Kernel ESRT driver není k dispozici/načtený:

Atributy jako fw_resource_count, fw_resource_version a entries/entryN/... vytváří ESRT driver v kernelu. Pokud není přítomen nebo nenajde platnou tabulku v UEFI, soubory se nevytvoří (adresář může být prázdný). Viz oficiální ABI popis, kde jsou vyjmenované přesné cesty a soubory, které byste tam normálně měli vidět. docs.kernel.org.

3. Firmware ESRT neposkytuje (anebo ji poskytuje „divně“):

Některé desky/BIOSy ESRT vůbec nevystavují, nebo ji vystaví nekorektně (kernel pak ty soubory nevytvoří). I to je podle kernelových poznámek „normální varianta“, když tabulka chybí/nesedí. coral.googlesource.com.

4. Práva:

Čtení těchto atributů je obvykle bez root možné, ale pokud máš nestandardní lockdown/policy, zkuste pro jistotu sudo cat ....

1. Podívejte se, co v ESRT skutečně je:

ls -l /sys/firmware/efi/esrt

ls -l /sys/firmware/efi/esrt/entries 2>/dev/null

Očekávatelný stav (když je ESRT OK): uvidíš souboryfw_resource_count, fw_resource_count_max, fw_resource_version a podsložku entries/ s entry0, entry1 atd. docs.kernel.org

2. Zkus to s sudo (kdyby šlo o práva):

sudo cat /sys/firmware/efi/esrt/fw_resource_count

3. Zkontrolujte, zda kernel ESRT vůbec podporuje:

# pokud je k dispozici config v /proc

zcat /proc/config.gz | grep EFI_ESRT

# případně prohledej dmesg:

dmesg | grep -i esrt

Pokud je ESRT driver aktivní a něco našel, dmesg to obvykle zmíní; v opačném případě nic. (ABI dokumentace přesně vyjmenovává, co se do sysfs exportuje, když ESRT běží správně.) docs.kernel.org+1

4. „Plán B“ přes fwupdmgr:

sudo fwupdmgr refresh --force

sudo fwupdmgr get-devices | sed -n '1,200p'

První test jen říká „adresář ESRT existuje“. Absence fw_resource_count znamená, že kernel nevytvořil ESRT atributy (nejčastěji kvůli chybějící podpoře v kernelu, nebo proto, že firmware tabulku neposkytl/je vadná). Nejde o chybu v tvých příkazech — spíš o stav toho konkrétního stroje nebo kernelu.