Dual Secure Boot mit Windows 11 und Gentoo [gelöst]

[Child_of_Sun_24]

Hallo @all

Ich habe ein Problem, und zwar kann ich seit ich auf Windows 11 umgestiegen bin Gentoo nicht mehr nativ booten. Im moment habe ich es in einer Hyper-V VM am laufen damit ich wenigstens Updates machen kann, aber ich würde es gerne auch zwischendurch nativ nutzen.

Jetzt bin ich auf sys-boot/shim gestoßen, wo aber in der Dokumentation steht das dieses nur dazu gedacht ist grub zu starten und grub hierfür digital signiert werden muss, was unter Gentoo wohl so ohne weiteres nicht möglich ist. Es wird erwähnt das die distributionen einen Schlüssel zum signieren mitbringen allerdings wäre mir das unter Gentoo neu das es einen solchen Schlüssel gäbe.

So habe ich es bislang mit sys-boot/shim nicht ausprobiert, da mir das ganze zu unsicher ist und ich den Windows Bootmanager respektive /BOOT/bootx64.efi durch Shim ersetzen müsste.

Ich bin mit meinem Latein am ende, ich weiß das es auch noch systemd-boot gibt allerdings weiß ich nicht ob dieses auch mit Secure Boot starten kann, ich hatte das ganze mal mit dem im Netz erhältlichen Gummiboot für Secure Boot versucht dieser friert mir allerdings beim auswählen eines Boot eintrages ein.

Ich bin mit meinem Latein am ende, da ich die manuell generierten Schlüssel nicht nutzen kann (Was mir übrigens auch zu riskant ist) weil ich ein Dual Boot mit Windows 11 anstrebe.

Ich hoffe mir kann hier jemand helfen.

*EDIT*
Es geht um ein UEFI System:
MB: Gigabyte X570 Gaming X
CPU: Amd Ryzen 9 3900X
GraKa: 1x ASUS GeForce RTX 3080 TUF GAMING
Ram: 4x16GB G.Skill Trident Z Neo DDR4-3600
SSD: 1TB Corsair Force MP600 (Windows/Spiele)
SSD: 250GB Seagate BarraCuda 510 (Gentoo Hyper-V/Nativ)
HDD: 3TB Toshiba DT01ACA3 (Datenfestplatte)
Externe HDD: 1TB Maxtor (Backups)
Externe HDD: 3TB (Backups)
Optisch: 1x LG BlueRay Brenner
Netzteil: Thermaltake TR2 S 700W
Kühlung: Floe DX RGB 280 TT Premium Edition

*EDIT 2*
google ist mir hier auch keine Hilfe, ich finde jedenfalls keine brauchbaren Informationen über Secure Boot zusammen mit einem DUAL Boot von Windows und Linux.

[schmidicom]

Wenn das BIOS/UEFI von deinem Mainboard eine saubere Implementation von SecureBoot hat dann sollte es dir möglich sein im BIOS/UEFI-Setup die Prüfsumme des Bootloader und des Linux-Kernel hinzuzufügen. Wenn du das machst lässt SecureBoot das starten dieser beiden auch dann zu wenn sie keine gültige Signatur haben.

EDIT:
Aber wenn du das so machst musst du bei jedem Update des Bootloader und/oder Kernel diese Ausnahme erneut einpflegen.

[Child_of_Sun_24]

Leider finde ich im Uefi keine entsprechende Option unter secure boot.

[Christian99]

es gibt https://wiki.gentoo.org/wiki/User:Sakaki/Sakaki%27s_EFI_Install_Guide/Configuring_Secure_Boot
das ist recht umfänglich, aber da ist der ganze Prozess relativ gut erläutert. Der guide ist nicht für Dual boot ausgelegt AFAIK, daher musst du es noch entsprechend anpassen.

Selber gemacht hab ich es auch nicht, aber soweit ich es verstanden habe, muss man das auch nicht mit jedem neuen Kernel machen. Es sollte reichen, wenn du einen Signing key erstellst, und den zu Uefi hinzufügst. damit wird dann dein neuer kernel signiert und sollte dann verwendet werden können.

Das einfachste wäre aber vermutlich, Secure Boot zu deaktivieren, wenn du keine entsprechende Sicherheitsanforderung hast, dass du das unbedingt brauchst.

[schmidicom]

[Christian99]

[Banana]

Mir graust es davor.
Betreibe Dualboot (Ohne grub oder lilo und TPM) und wollte schon mal auf Window 11 umstellen. Das ganze "security" blullshit-bingo versaut mir die Laune.
_________________
My personal space
My delta-labs.org snippets do expire

PFL - Portage file list - find which package a file or command belongs to.

[schmidicom]

Die SecureBoot-Geschichte ist genau genommen halb so wild, ich habe das ganze mit Sakaki's-Guide (schade das dieser nicht mehr gepflegt wird) an meinem Tuxedo-Laptop ausführlich ausprobiert und es kann schon eine nette Sache sein.

Wirklich schlimm wird es erst wenn manche Gerätehersteller meinen sie müssten eine verkorkste Implementation davon auf den Markt kotzen (die nur noch Windows bootet und sich auch nicht mehr anpassen, erweitern oder abschalten lässt) um Microsoft richtig tief in den Allerwertesten zu kriechen. Und ja das gibt es wirklich...

[pietinger]

Child_of_Sun_24,

gehe ich richtig in der Annahme dass Du noch nie hier in die "Deutsche Dokumentation" reingeschaut hast ? ...

Das wichtigste für Dual-Boot mit Windows ist, dass Du im BIOS die Möglichkeit hast die Schlüssel hinzuzufügen - so wie @schmidicom bereits geschrieben. Alles andere ist simpel:

1. Du läßt Dir die Keys mit einem Script erstellen (schau einfach in B.3 nach)
2. Dann signierst Du das Teil, welches booten soll: Also entweder ein Linux-Stub-Kernel oder der grub2, oder was auch immer Du starten möchtest.
3. Und dann eben das wichtigte: Dein BIOS überreden diese Keys zu akzeptieren (ohne Dual-Boot ist das simpel, weil DU einfach die vorhandenen löscht und mit Deinen überschreibst).

Wenn Du fragen hast, bist Du hier im dt. Bereich ziemlich gut aufgehoben .... alles Fachleute hier (ernst gemeint).

[Child_of_Sun_24]

Danke an alle für die Hilfe, ich habe jetzt die entsprechende Option gefunden um die Anwendung (Grub) im Uefi freizuschalten, ich musste hierfür Secure Boot auf Custom stellen und dann im entsprechenden Untermenü die Anwendung freischalten.

Allerdings ist Secure Boot bei mir anscheinend deaktiviert, jedenfalls laut Windows 11, keine Ahnung warum im Uefi ist es auf aktiviert geschaltet allerdings scheint es sich nicht zu aktivieren. Keine Ahnung warum es sollte eigentlich funktionieren.

Google bringt mir auch keine weitere Hilfe da es ausreichen soll es im Uefi zu aktivieren, dementsprechend finde ich auch keine Windows Befehle mit denen ich es evtl. aktivieren könnte (Vor ein paar Jahren hatte ich mal etwas darüber gefunden und konnte es über die Powershell aktivieren).

Naja, ich lass es erstmal so es scheint zu funktionieren.

[Banana]

[schmidicom]

[mike155]

Mein Rat wäre natürlich: hört auf mit Dual Boot und steigt vollständig auf Linux um.

Für die paar seltenen Fälle, in denen ich tatsächlich mal ein Windows-Programm laufen lassen muss (Steuersoftware, usw.), habe ich eine QEMU/KVM VM mit Windows.

[Child_of_Sun_24]

Ich habe Gentoo in einer VM und nativ am laufen, da ich gerne zocke bleibe ich lieber bei Windows, unter Linux war mir das ganze zu frickelig (Habe das mal vor 2 Jahren ausprobiert mit Steam und ein paar Jahre vorher hatte ich Windows in einer VM unter Linux laufen mithilfe von Vfio habe ich die Grafikkarte, den Sata-Controller, Keyboard,Maus weitergereicht, ich saß hier mit 2 Monitoren an 2 Grafikkarten mit 2 Keyboards und zwei Mäusen, konnte dafür aber sehr gut unter Windows zocken, allerdings war das eher ein Ich habe es mal ausprobiert Projekt von mir, da das ganze schon etwas umständlich war, also habe ich beschlossen Gentoo in eine VM zu packen damit ich es unter Windows Updaten kann, dafür brauche ich keine 2 Grafikkarten, 2 Mäuse und 2 Keyboards, allerdings der bequemlichkeit halber 2 Monitore ).

Bevor ich Windows 11 installiert hatte habe ich Secure Boot aktiviert und es lief auch die ganze Zeit, ich vermute das es seit dem letzten Uefi Update nicht mehr funktioniert obwohl alles auf aktiviert steht. Hatte es auch schon deaktiviert und wieder neu aktiviert, brachte aber auch nix.

Wie gesagt ich werde es jetzt erstmal so laufen lassen, immerhin entsteht mir momentan kein Nachteil dadurch.

[Child_of_Sun_24]

Hallo @all

Ich habe es nun geschafft Secure Boot wieder zu aktivieren, der Windows Bootloader startet ganz normal, bei Grub habe ich aber ein Problem.

Ich habe die grubx64.efi als Ausnahme im Uefi hinzugefügt (Im Secure Boot Menü) diese startet auch allerings kommt dann nur folgender Text (abgetippt von mir):

[arfe]