Uefi - Secure boot - dual boot sont dans un bateau

Bonjour,

Je suis en train de monter une nouvelle machine avec uefi et option secure boot.
Ma machine actuelle a 12 ans et je n’avais jamais réussi à faire marcher uefi. Donc je découvre.

Aujoud’hui, j’ai un boot sur bios à 2 étages.
Démarrage sur PXE avec différentes options: local par défaut, live cd debian, memtest86, installeur debian, sysrescuecd …
Au timeout, ca bascule sur le local avec un grub qui donne le choix entre debian et un windows.

pxe avec uefi, a priori ca doit marcher, j’avais réussi à faire démarrer un laptop de pret.
Mais grub pour démarrer Debian et windows avec secure boot activé ?
et pxe avec secure boot activé ?

Merci pour vos conseils, tuto et autres suggestions

Le boot PXE pour P reboot E x ecution E nvironment est un protocole de démarrage réseau qui permet à un ordinateur local de démarrer à partir de données situées sur un serveur distant.

Oui, on est d’accord. Ma question est comment chainer un PXE qui redirige par défaut ( sans intervention utilisateur ) vers un boot local avec du uefi et secure boot.

boot en PXE uefi sans secure boot ok pour memtest86+, clonezilla et sysrecuecd
a voir pour debian,
et ca ne chaine pas pour le boot en local, il faut que je regarde coté syslinux

Bon, un petit retour.
Double boot avec secure boot OK, c’est faisable avec uefi réglé sur sur Debian. Grub se charge de démarrer ensuite soit Debian soit Windows.
La grosse difficulté est de créer la partition EFI de la bonne taille, Windows crée une partition de 100Mo qui est trop petite. Il faut donc créer la partition EFI à la main depuis l’installeur windows avec diskpart. Puis installation de Debian sans soucis. Peut etre que c’est possible de faire l’inverse, démarrer par Debian, mais je n’ai pas réussi à faire reconnaitre la partition EFI par Windows ensuite.

Pour le boot en PXE, mon vieux syslinux n’est pas compatible secureboot. Avoir si c’est faisable ou le remplacer par une autre solution.

J’utilise limine depuis plus d’un an, que j’avais discrètement évoqué dans ce sujet: Installation from scratch.
Limine est pour le moment inconnu dans le monde Debian, mais largement utilisé dans d’autres.
Limine est le remplaçant de grub2 que j’attendais, mon usage de bootloader n’étant pas représentatif d’un usage standard, je précise quand-même.
Limine supporte le PXE et UEFI (of course), et encore en évolution progressive, mais rapide.

Pour commencer, si tu ne comprends pas l’anglais, on va dire que ce n’est pas la peine de lire la suite.
Limine, philosophie diamétralement opposée à grub2 qui est une usine à gaz → limine/PHILOSOPHY.md .
Et recommandé à lire à chaque changement de version, limine/USAGE.md , limine/CONFIG.md
pour éviter les surprises lors de changement de versions.

En résumé, je ne dis pas que limine est la solution à ton problème, mais au moins une piste qui présente un certain intérêt, au moins par curiosité.

Merci pour les pointeurs.
Je suis pret à investir un peu de temps pour la mise en oeuvre mais après ca doit etre du apt update && apt upgrade.
Un peu au feeling de mes lectures, j’ai quand meme l’impression qu’il va falloir intégrer les clés de l’outil choisi dans la base UEFI pour garder le secureboot. Ventoy et sa variante iventoy semble aussi intéressante ( pas plus KISS pour les majs ).

Petite réévaluation de compatibilité de Limine pour ton usage.
J’avais hésité il y a 1 an faire une petite présentation de Limine, car évalué prématuré dans un forum Debian fr. Ça me semble encore bien prématuré, et juste faire de la traduction du site d’origine m’intéresse moyennement (…).
Comme tu évoquais syslinux, je m’étais dit que le sujet bootloader t’était déjà familier.
Mais quand tu dis ‹ après ca doit etre du apt update && apt upgrade ›, je suis inquiet parce-que je ne comprends pas ce que ça veut dire pour 2 raisons:
1 ) limine n’est pas dans les dépôts et apt n’aura donc aucun effet
2 ) modifier ‹ automatiquement › un fichier de configuration loader lors de changement de noyau par exemple ne sert à rien; j’explique.

Debian fait toujours pointer /vmlinuz /initrd.img sur le dernier noyau installé par apt

readlink /vmlinuz /initrd.img
 boot/vmlinuz-6.11.4-amd64
 boot/initrd.img-6.11.4-amd64

Lors du boot, limine permet d’éditer la configuration, ce qui peut être utile pour tester une option de noyau, ou choisir temporairement un autre noyau etc, manip rarement utile dans une utilisation standard. Je gère une configuration de bootloader exclusivement manuellement.

C’est pour ça que j’avais précisé: " mon usage de bootloader n’étant pas représentatif d’un usage standard, je précise quand-même."

Passer de grub2 à limine ne peut pas se faire sans investissement personnel à bien comprendre la philosophie de limine, qui considère que ça ne sert à rien de dupliquer avec une usine à gaz, ce que n’importe quel noyau linux sait faire.
La suite, je la connais: " Ha ben oui, mais alors si la partition est crytée, comment fait-on etc etc…"
→ limine What about LUKS? What about security?
Si, je dis bien si tu sens que limine peut t’intéresser, je veux bien donner un tout petit coup de pouce pour démarrer, mais pas tout te macher de A à Z, chaque configuration et utilisation d’un bootloader étant particulière.

Bonjour,

Iventoy est construit sur le logiciel iPXE ( https://ipxe.org/ , https://github.com/ipxe/ipxe ), qui est bien plus moderne et plus facile que pxelinux.

Et comme outil similaire à iventoy, il y a aussi netboot.xyz qui est très bien.

Sinon, il est possible d’écrire ses propres scripts pour faire ce que l’on souhaite avec iPXE, comme démarrer (chainload) un fichier EFI présent sur l’Efi System Partition, y compris si l’exécutable EFI est signé.

IPXE lui-même n’est pas signé par l’entreprise de Redmond (voir ici) et il faudra désactiver le secure boot ou ajouter sa propre signature au fimware de la machine.

Il ne répond donc pas forcément à tout le cahier des charges mais c’est tout de même un super logiciel.

–
AnonymousCoward