View previous topic :: View next topic |
Author |
Message |
Child_of_Sun_24 Guru
Joined: 28 Jul 2004 Posts: 589
|
Posted: Sun Feb 13, 2022 3:42 pm Post subject: Dual Secure Boot mit Windows 11 und Gentoo [gelöst] |
|
|
Hallo @all
Ich habe ein Problem, und zwar kann ich seit ich auf Windows 11 umgestiegen bin Gentoo nicht mehr nativ booten. Im moment habe ich es in einer Hyper-V VM am laufen damit ich wenigstens Updates machen kann, aber ich würde es gerne auch zwischendurch nativ nutzen.
Jetzt bin ich auf sys-boot/shim gestoßen, wo aber in der Dokumentation steht das dieses nur dazu gedacht ist grub zu starten und grub hierfür digital signiert werden muss, was unter Gentoo wohl so ohne weiteres nicht möglich ist. Es wird erwähnt das die distributionen einen Schlüssel zum signieren mitbringen allerdings wäre mir das unter Gentoo neu das es einen solchen Schlüssel gäbe.
So habe ich es bislang mit sys-boot/shim nicht ausprobiert, da mir das ganze zu unsicher ist und ich den Windows Bootmanager respektive /BOOT/bootx64.efi durch Shim ersetzen müsste.
Ich bin mit meinem Latein am ende, ich weiß das es auch noch systemd-boot gibt allerdings weiß ich nicht ob dieses auch mit Secure Boot starten kann, ich hatte das ganze mal mit dem im Netz erhältlichen Gummiboot für Secure Boot versucht dieser friert mir allerdings beim auswählen eines Boot eintrages ein.
Ich bin mit meinem Latein am ende, da ich die manuell generierten Schlüssel nicht nutzen kann (Was mir übrigens auch zu riskant ist) weil ich ein Dual Boot mit Windows 11 anstrebe.
Ich hoffe mir kann hier jemand helfen.
*EDIT*
Es geht um ein UEFI System:
MB: Gigabyte X570 Gaming X
CPU: Amd Ryzen 9 3900X
GraKa: 1x ASUS GeForce RTX 3080 TUF GAMING
Ram: 4x16GB G.Skill Trident Z Neo DDR4-3600
SSD: 1TB Corsair Force MP600 (Windows/Spiele)
SSD: 250GB Seagate BarraCuda 510 (Gentoo Hyper-V/Nativ)
HDD: 3TB Toshiba DT01ACA3 (Datenfestplatte)
Externe HDD: 1TB Maxtor (Backups)
Externe HDD: 3TB (Backups)
Optisch: 1x LG BlueRay Brenner
Netzteil: Thermaltake TR2 S 700W
Kühlung: Floe DX RGB 280 TT Premium Edition
*EDIT 2*
google ist mir hier auch keine Hilfe, ich finde jedenfalls keine brauchbaren Informationen über Secure Boot zusammen mit einem DUAL Boot von Windows und Linux.
Last edited by Child_of_Sun_24 on Tue Feb 22, 2022 4:39 pm; edited 1 time in total |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1942 Location: Schweiz
|
Posted: Sun Feb 13, 2022 6:48 pm Post subject: |
|
|
Wenn das BIOS/UEFI von deinem Mainboard eine saubere Implementation von SecureBoot hat dann sollte es dir möglich sein im BIOS/UEFI-Setup die Prüfsumme des Bootloader und des Linux-Kernel hinzuzufügen. Wenn du das machst lässt SecureBoot das starten dieser beiden auch dann zu wenn sie keine gültige Signatur haben.
EDIT:
Aber wenn du das so machst musst du bei jedem Update des Bootloader und/oder Kernel diese Ausnahme erneut einpflegen. |
|
Back to top |
|
|
Child_of_Sun_24 Guru
Joined: 28 Jul 2004 Posts: 589
|
Posted: Mon Feb 14, 2022 9:27 am Post subject: |
|
|
Leider finde ich im Uefi keine entsprechende Option unter secure boot. |
|
Back to top |
|
|
Christian99 Veteran
Joined: 28 May 2009 Posts: 1681
|
Posted: Mon Feb 14, 2022 9:35 am Post subject: |
|
|
es gibt https://wiki.gentoo.org/wiki/User:Sakaki/Sakaki%27s_EFI_Install_Guide/Configuring_Secure_Boot
das ist recht umfänglich, aber da ist der ganze Prozess relativ gut erläutert. Der guide ist nicht für Dual boot ausgelegt AFAIK, daher musst du es noch entsprechend anpassen.
Selber gemacht hab ich es auch nicht, aber soweit ich es verstanden habe, muss man das auch nicht mit jedem neuen Kernel machen. Es sollte reichen, wenn du einen Signing key erstellst, und den zu Uefi hinzufügst. damit wird dann dein neuer kernel signiert und sollte dann verwendet werden können.
Das einfachste wäre aber vermutlich, Secure Boot zu deaktivieren, wenn du keine entsprechende Sicherheitsanforderung hast, dass du das unbedingt brauchst. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1942 Location: Schweiz
|
Posted: Mon Feb 14, 2022 9:50 am Post subject: |
|
|
Child_of_Sun_24 wrote: | Leider finde ich im Uefi keine entsprechende Option unter secure boot. | Also ich habe da eine Anleitung gefunden wo es sein müsste.
https://download.gigabyte.com/FileList/Manual/server_manual_bios_e_amd_epyc_10.pdf
Ab Seite 74 wird das SecureBoot erklärt und bei "Authorized Signatures (DB)" (Seite 77) müsstest du die Möglichkeit haben die Prüfsumme einzelner Dateien (die auf der ESP liegen) hinzuzufügen so das sie trotz fehlender Signatur akzeptiert werden.
Christian99 wrote: | Das einfachste wäre aber vermutlich, Secure Boot zu deaktivieren, wenn du keine entsprechende Sicherheitsanforderung hast, dass du das unbedingt brauchst. | Windows 11 verlangt ein aktiviertes SecureBoot.
Man kann es zwar nachträglich wieder abschalten aber es ist dann nur eine Frage der Zeit bis sich Windows 11 (vermutlich bei einem größeren Update) beschwert. |
|
Back to top |
|
|
Christian99 Veteran
Joined: 28 May 2009 Posts: 1681
|
Posted: Mon Feb 14, 2022 10:02 am Post subject: |
|
|
schmidicom wrote: | Christian99 wrote: | Das einfachste wäre aber vermutlich, Secure Boot zu deaktivieren, wenn du keine entsprechende Sicherheitsanforderung hast, dass du das unbedingt brauchst. | Windows 11 verlangt ein aktiviertes SecureBoot.
Man kann es zwar nachträglich wieder abschalten aber es ist dann nur eine Frage der Zeit bis sich Windows 11 (vermutlich bei einem größeren Update) beschwert. |
toll, wird ja immer besser Windows/Linux dualboot einzurichten... |
|
Back to top |
|
|
Banana Moderator
Joined: 21 May 2004 Posts: 1446 Location: Germany
|
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1942 Location: Schweiz
|
Posted: Mon Feb 14, 2022 12:26 pm Post subject: |
|
|
Die SecureBoot-Geschichte ist genau genommen halb so wild, ich habe das ganze mit Sakaki's-Guide (schade das dieser nicht mehr gepflegt wird) an meinem Tuxedo-Laptop ausführlich ausprobiert und es kann schon eine nette Sache sein.
Wirklich schlimm wird es erst wenn manche Gerätehersteller meinen sie müssten eine verkorkste Implementation davon auf den Markt kotzen (die nur noch Windows bootet und sich auch nicht mehr anpassen, erweitern oder abschalten lässt) um Microsoft richtig tief in den Allerwertesten zu kriechen. Und ja das gibt es wirklich...
Last edited by schmidicom on Mon Feb 14, 2022 2:55 pm; edited 1 time in total |
|
Back to top |
|
|
pietinger Moderator
Joined: 17 Oct 2006 Posts: 4409 Location: Bavaria
|
Posted: Mon Feb 14, 2022 2:41 pm Post subject: |
|
|
Child_of_Sun_24,
gehe ich richtig in der Annahme dass Du noch nie hier in die "Deutsche Dokumentation" reingeschaut hast ? ...
Das wichtigste für Dual-Boot mit Windows ist, dass Du im BIOS die Möglichkeit hast die Schlüssel hinzuzufügen - so wie @schmidicom bereits geschrieben. Alles andere ist simpel:
1. Du läßt Dir die Keys mit einem Script erstellen (schau einfach in B.3 nach)
2. Dann signierst Du das Teil, welches booten soll: Also entweder ein Linux-Stub-Kernel oder der grub2, oder was auch immer Du starten möchtest.
3. Und dann eben das wichtigte: Dein BIOS überreden diese Keys zu akzeptieren (ohne Dual-Boot ist das simpel, weil DU einfach die vorhandenen löscht und mit Deinen überschreibst).
Wenn Du fragen hast, bist Du hier im dt. Bereich ziemlich gut aufgehoben .... alles Fachleute hier (ernst gemeint). |
|
Back to top |
|
|
Child_of_Sun_24 Guru
Joined: 28 Jul 2004 Posts: 589
|
Posted: Mon Feb 14, 2022 3:13 pm Post subject: |
|
|
Danke an alle für die Hilfe, ich habe jetzt die entsprechende Option gefunden um die Anwendung (Grub) im Uefi freizuschalten, ich musste hierfür Secure Boot auf Custom stellen und dann im entsprechenden Untermenü die Anwendung freischalten.
Allerdings ist Secure Boot bei mir anscheinend deaktiviert, jedenfalls laut Windows 11, keine Ahnung warum im Uefi ist es auf aktiviert geschaltet allerdings scheint es sich nicht zu aktivieren. Keine Ahnung warum es sollte eigentlich funktionieren.
Google bringt mir auch keine weitere Hilfe da es ausreichen soll es im Uefi zu aktivieren, dementsprechend finde ich auch keine Windows Befehle mit denen ich es evtl. aktivieren könnte (Vor ein paar Jahren hatte ich mal etwas darüber gefunden und konnte es über die Powershell aktivieren).
Naja, ich lass es erstmal so es scheint zu funktionieren. |
|
Back to top |
|
|
Banana Moderator
Joined: 21 May 2004 Posts: 1446 Location: Germany
|
Posted: Tue Feb 15, 2022 8:56 am Post subject: |
|
|
Quote: | Allerdings ist Secure Boot bei mir anscheinend deaktiviert, jedenfalls laut Windows 11, keine Ahnung warum im Uefi ist es auf aktiviert geschaltet allerdings scheint es sich nicht zu aktivieren. Keine Ahnung warum es sollte eigentlich funktionieren. |
Will Windows11 nicht eine bestimmte Version von TPM? Eventuell ist deine zu alt? _________________ My personal space
My delta-labs.org snippets do expire
PFL - Portage file list - find which package a file or command belongs to. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1942 Location: Schweiz
|
Posted: Tue Feb 15, 2022 9:09 am Post subject: |
|
|
Banana wrote: | Quote: | Allerdings ist Secure Boot bei mir anscheinend deaktiviert, jedenfalls laut Windows 11, keine Ahnung warum im Uefi ist es auf aktiviert geschaltet allerdings scheint es sich nicht zu aktivieren. Keine Ahnung warum es sollte eigentlich funktionieren. |
Will Windows11 nicht eine bestimmte Version von TPM? Eventuell ist deine zu alt? |
TPM und SecureBoot sind zwei völlig verschiedene Dinge, also bitte nicht durcheinander bringen... |
|
Back to top |
|
|
mike155 Advocate
Joined: 17 Sep 2010 Posts: 4438 Location: Frankfurt, Germany
|
Posted: Tue Feb 15, 2022 10:10 am Post subject: |
|
|
Mein Rat wäre natürlich: hört auf mit Dual Boot und steigt vollständig auf Linux um.
Für die paar seltenen Fälle, in denen ich tatsächlich mal ein Windows-Programm laufen lassen muss (Steuersoftware, usw.), habe ich eine QEMU/KVM VM mit Windows. |
|
Back to top |
|
|
Child_of_Sun_24 Guru
Joined: 28 Jul 2004 Posts: 589
|
Posted: Tue Feb 15, 2022 7:49 pm Post subject: |
|
|
Ich habe Gentoo in einer VM und nativ am laufen, da ich gerne zocke bleibe ich lieber bei Windows, unter Linux war mir das ganze zu frickelig (Habe das mal vor 2 Jahren ausprobiert mit Steam und ein paar Jahre vorher hatte ich Windows in einer VM unter Linux laufen mithilfe von Vfio habe ich die Grafikkarte, den Sata-Controller, Keyboard,Maus weitergereicht, ich saß hier mit 2 Monitoren an 2 Grafikkarten mit 2 Keyboards und zwei Mäusen, konnte dafür aber sehr gut unter Windows zocken, allerdings war das eher ein Ich habe es mal ausprobiert Projekt von mir, da das ganze schon etwas umständlich war, also habe ich beschlossen Gentoo in eine VM zu packen damit ich es unter Windows Updaten kann, dafür brauche ich keine 2 Grafikkarten, 2 Mäuse und 2 Keyboards, allerdings der bequemlichkeit halber 2 Monitore ).
Bevor ich Windows 11 installiert hatte habe ich Secure Boot aktiviert und es lief auch die ganze Zeit, ich vermute das es seit dem letzten Uefi Update nicht mehr funktioniert obwohl alles auf aktiviert steht. Hatte es auch schon deaktiviert und wieder neu aktiviert, brachte aber auch nix.
Wie gesagt ich werde es jetzt erstmal so laufen lassen, immerhin entsteht mir momentan kein Nachteil dadurch. |
|
Back to top |
|
|
Child_of_Sun_24 Guru
Joined: 28 Jul 2004 Posts: 589
|
Posted: Mon Feb 21, 2022 5:15 pm Post subject: |
|
|
Hallo @all
Ich habe es nun geschafft Secure Boot wieder zu aktivieren, der Windows Bootloader startet ganz normal, bei Grub habe ich aber ein Problem.
Ich habe die grubx64.efi als Ausnahme im Uefi hinzugefügt (Im Secure Boot Menü) diese startet auch allerings kommt dann nur folgender Text (abgetippt von mir):
Code: | Welcome to GRUB
error: verification requested but nobody cares: (hd7,gpt1)/grub/x86_64-efi/normal.mod.
Entering rescue mode...
grub rescue> _ |
Was bedeutet das, muss ich die Datei normal.mod ebenfalls im Uefi freigeben (Was schwer möglich ist da in diesem Ordner soviele Dateien sind das im Uefi Menü nicht alle auf dem Bildschirm erscheinen [viele sind außerhalb des Bildschirms]) ?
Um das Problem zu umschiffen wäre es mir wichtig zu wissen welche Dateien in dem Verzeichnis /grub/x86_64-efi ich ohne Probleme löschen kann.
Hier nochmal meine grub.cfg:
https://dpaste.com/4BX5NQ6LN
*EDIT*
Ich habe jetzt versucht die Datei normal.mod (Habe mal für mich augenscheinlich unwichtige .mod Dateien aus dem Verzeichnis /grub/x86_64-efi in ein anderes Verzeichnis verschoben) als Ausnahme hinzuzufügen, das klappt allerdings nicht.
Für eine mögliche Lösung wäre ich dankbar.
*EDIT 2*
Habe jetzt mal den Fehler gegoogelt allerdings finde ich keine brauchbaren Hinweise außer das man Secure Boot ausschalten muss, was für mich keine Option ist.
*EDIT 3*
Ich habe jetzt nach der Anleitung von der Seite https://www.admin-magazin.de/Das-Heft/2014/03/UEFI-Secure-Boot-und-alternative-Betriebssysteme/(offset)/8 einen Secure Boot Preloader gebaut, in der VM funktioniert das ganze auch Prima, nur nativ bringt er mir nur die ganz normale Grub Eingabeaufforderung, weiß dazu jemand Rat ? (Die Pfade sind nativ wie auch in der VM völlig identisch)
*EDIT 4*
Habe jetzt den Preloader mit --disable-shim-lock gebaut woraufhin in der Kommandozeile beim folgenden Befehl "chainloader //EFI//GentooOS//grub2x64.efi" (Habe den grub loader nach grub2x64.efi kopiert und den Preloader nach grubx64.efi kopiert da ich momentan nicht die Bootloader konfiguration verändern kann da ja kein System startet) wieder den Fehler "error: verification requested but nobody cares: /EFI/GentooOS/grub2x64.efi".
*EDIT 5*
Ich bin jetzt ein bisschen weiter, der Preloader funktioniert nun, habe die enthaltenen Module angepasst an die unten auf dieser Seite ( https://bugs.archlinux.org/task/71382 ) aufgeführten module, damit klappt es nun, allerdings wird Grub geladen und ich erhalte die selbe Fehlermeldung wie oben, also
Code: | Welcome to GRUB
error: verification requested but nobody cares: (hd7,gpt1)/grub/x86_64-efi/normal.mod.
Entering rescue mode...
grub rescue> _ |
Also genau dem Fhler den ich mit dem Preloader verhindern wollte, jetzt weiß ich wirklich nicht mehr weiter, vielleicht kann mir dabei noch jemand helfen.
*EDIT 6*
Habe den Preloader angepasst so das dieser statt Grub den Kernel direkt lädt, das klappt wunderbar ich kann darüber mein System starten, das Problem ist damit gelöst. |
|
Back to top |
|
|
arfe Apprentice
Joined: 24 Aug 2005 Posts: 298 Location: Essen
|
Posted: Thu Mar 03, 2022 5:30 pm Post subject: |
|
|
Child_of_Sun_24 wrote: | Habe den Preloader angepasst so das dieser statt Grub den Kernel direkt lädt, das klappt wunderbar ich kann darüber mein System starten, das Problem ist damit gelöst. |
Eine Step-by-Step Zusammenfassung bzw Dokumentation wäre doch eine schöne Sache. Entweder hier oder wenn Du einen eigenen Blog hast, dort veröffentlichen.
Und den Link zu Deinem Blog hier mitteilen. |
|
Back to top |
|
|
|