Secureboot mit Systemd und Grub

Message

krelh · Post by **krelh** » Mon Oct 20, 2025 5:54 am

Hi,
ich möchte Secureboot mit Systemd und Grub einrichten.
Ist das damit möglich? Muss ich Shim installieren? Ist das sehr aufwendig?

Ich danke euch für eure Antworten.

schmidicom · Post by **schmidicom** » Mon Oct 20, 2025 5:16 pm

Mit dem Programm "app-crypt/sbctl" ist der Aufwand relativ gering da man zum Beispiel die eigenen Zertifikate nicht mit openssl manuell erstellen muss. Und wenn SecureBoot im Setup Mode ist lassen sich damit die Zertifikate/Key auch recht einfach in die Firmware packen.
Hier ein Beispiel wie das ablaufen kann: https://github.com/Foxboron/sbctl/blob/ ... example.md

Danach musst du halt noch sicherstellen das dein GRUB mit den von "app-crypt/sbctl" erstellten Zertifikaten/Key signiert wird. Aber auch das geht über die USE-Flags und zwei Einstellungen in der "/etc/portage/make.conf".
https://wiki.gentoo.org/wiki/Secure_Boot#Installation
Hier mal ein Beispiel wie man Portage mitteilen kann das "db"-Zertifikat/Key zu verwenden:

Code: Select all

SECUREBOOT_SIGN_KEY="/var/lib/sbctl/keys/db/db.key"
SECUREBOOT_SIGN_CERT="/var/lib/sbctl/keys/db/db.pem"

Das gleiche gilt im übrigen auch für das fertige Kernel-Image, denn das muss natürlich auch signiert werden weil sonst startet halt nur der Bootloader aber alles weitere nicht. Und auch dazu steht einiges in dem verlinkten Gentoo Wiki-Artikel.

So etwas wie "sys-boot/shim" braucht es eigentlich nur wenn man keine eigenen Zertifikate verwenden kann/will, aber davon würde ich wenn möglich unter Gentoo abraten.