přejít na obsah přejít na navigaci

Linux E X P R E S

Příspěvky (Ne)upravujte UEFI a Secure Boot

(Ne)upravujte UEFI a Secure Boot
pettu 7. 02. 2014, 21:52:01
Odpovědět  Odkaz 
To vyzerá tak jednoducho, človek ani nepozná zmenu oproti BIOSu.. UEFI je proste skvelé!
(Ne)upravujte UEFI a Secure Boot
marek 8. 02. 2014, 10:26:01
Odpovědět  Odkaz 
Dobrý článek. Nevím, proč autor má nahoře jen jednu hvězdičku.
Lukáš Jelínek Re: (Ne)upravujte UEFI a Secure Boot
Lukáš Jelínek 8. 02. 2014, 13:00:46
Odpovědět  Odkaz 
Ten "hvězdičkový systém" vychází z počtu umístění v první desítce žebříčku čtenosti za poslední dva roky, viz http://www.linuxexpres.cz/o-webu/redakce#hodnoceni
(Ne)upravujte UEFI a Secure Boot
GeBu 8. 02. 2014, 11:32:13
Odpovědět  Odkaz 
Moc děkuji za velmi žhavé téma (hlavně pro nové notebooky) - internet je problémů plný.
Na podzim jsem se pokoušel instalovat openSUSE ještě verzi 12.3 na nový notebook HP 650 s UEFI a Secure Boot s předinstalovanými Windows 8. Zřejmě se mi podařil i zápis do EFI System Partition, protože při startu mám možnost vybrat Windows 8 nebo openSUSE 12.3, ale openSUSE mi nebootovalo. Neměl jsem tolik času se tím dále zabývat a částečně mne odradila tato věta: "Secure Boot support in openSUSE 12.3 is still considered experimental."
Další pokusy jsem dělal po vydání verze 13.1, ale tam se mi objevuje hlášení:

Nastala chyba při instalaci GRUB2-EFI
cp: nelze vytvořit obyčejný soubor "/boot/efi/EFI/opensuse/grubx64.efi
Systém souborů je pouze pro čtení.

Zřejmě je to nějak zamknuté - prý to dělají aktualizace Windows a já aktualizoval na verzi 8.1. Viz diskuse zde: http://www.abclinuxu.cz/poradna/linux/show/387366

Jak píši v diskusi, tak tam mám soubory s dost divnými názvy a ani je nemohu běžný způsobem kopírovat. Nemám moc odvahu se v tom hrabat - nerad bych řešil záchranu dat.
Co poradíte?
PS: Rozhodl jsem se dál pokračovat s Kubuntu (kvůli blízkosti k Debianu).
Vladislav Konopík Re: (Ne)upravujte UEFI a Secure Boot
Vladislav Konopík 8. 02. 2014, 12:52:38
Odpovědět  Odkaz 
Dobrý den. Přečetl jsem si Vaše trápení s UEFI z přiloženého odkazu.

Celá situace je v případě OpenSUSE vcelku jednoduchá. Chcete-li
používat Secure Boot, je nutné spustit instalaci Linuxu s aktivní
funkcí Secure Boot. OpenSUSE takto vytvoří dva bootovací záznamy
v UEFI.

opensuse - pro spuštění grub2 bez Secure Boot
opensuse-secureboot - pro spuštění Shim předzavaděče, který poté hlídá
certifikáty a spustí podepsaný grub2 a podepsané jádro OpenSUSE

U Vás nedošlo k vytvoření těchto bootovacích záznamů, neboť jste zvolil
"vlastní" instalaci Linuxu (pozměnil jste instalaci odškrtnutím samostatného
adresáře /home). Toto se mi při testování také stalo, a k odstranění problému
bylo zapotřebí "ukázat" instalátoru jaký oddíl je EFI System Partition a nastavit mu bod připojení na /boot/efi. Instalace by měla po tomto kroku proběhnout korektně.

Tento neduh je i u instalace Fedory, kde je taktéž nutné ručně nastavit
ESP na bod připojení /boot/efi.
(Ne)upravujte UEFI a Secure Boot
GeBu 8. 02. 2014, 13:40:53
Odpovědět  Odkaz 
Děkuji moc za informaci. Určitě to vyzkouším a napíšu.
Netušíte, jestli je to stejné v Kubuntu?
Uvažoval jsem původně o tom přemigrovat z Kubuntu na openSUSE u příležitosti nového notebooku. Chtěl jsem vyzkoušet, jak je na tom KDE v openSUSE, protože se všude tvrdí, že openSUSE se na KDE zaměřuje. Z Kubuntu takový pocit nemám.
Nyní jsem však zjistil, že se budu dálkově starat o stanici s Debianem a bude pro mne lepší používat nějaký DEBianí klon.
Vladislav Konopík Re: (Ne)upravujte UEFI a Secure Boot
Vladislav Konopík 8. 02. 2014, 14:11:24
Odpovědět  Odkaz 
Kubuntu je odvozenina Ubuntu, který sice vzešel z Debianu, ale již dávno se vydal vlastní cestou (využívají však balíčky deb).
Klony Ubuntu jsem netestoval (testovaný Mint je odvozenina, nikoli klon), ale předpokládám, že na-rozdíl od Ubuntu, mohou mít jeho klony s funkcí Secure Boot problém (stejně jako Mint)
Mohu Vám však doporučit, aby jste vyčkal do uveřejnění pokračování tohoto článku, kde získáte povědomost o řešení jistých komplikací se Secure Boot.

Ohledně dálkové správy:

Můžete nalézt (a také naleznete) pár rozdílů mezi Ubuntu (a jeho klony) a Debianem. Hlavní rozdíl je v používání práv superuživatele (při klasické instalaci těchto distribucí)

Ubuntu (a jeho klony) používá sudo pro vykonání příkazu s právy superuživatele
Debian používá pro práva superuživatele příkaz su

sudo je dočasné povýšení práv (jen pro vykonání daného příkazu) a su je trvalé povýšení (jakýkoliv příkaz poté má práva superuživatele)
Re: Re: (Ne)upravujte UEFI a Secure Boot
GeBu 8. 02. 2014, 14:34:22
Odpovědět  Odkaz 
Děkuji za info. O rozdílech mezi Ubuntu a Debianem vím. Na desktopu jsem kdysi Debian používal. Dnes hlavně Ubuntu. Spíše do toho nechci montovat to openSUSE, protože tam je úplně jiný balíčkovací systém.
Vladislav Konopík Re: Re: Re: (Ne)upravujte UEFI a Secure Boot
Vladislav Konopík 8. 02. 2014, 14:58:52
Odpovědět  Odkaz 
Pozapomněl jsem na jednu skutečnost. Nemám po ruce iso obraz nějakého klonu ubuntu, ale pokud
firma Canonical uvolnila certifikát i pro klony Ubuntu, můžete se přesvědčit vcelku jednoduše o podpoře Secure Boot.

Postačí vyzkoušet CD/DVD/flashdisk v počítači se zapnutou funkcí Secure Boot. Pokud nastartuje instalace máte vyhráno (distribuce bude používat předzavaděč Shim) , podle vzoru Ubuntu)

Nebo nahlédněte do ISO obrazu do adresáře /EFI/Boot a je-li tam více souborů, máte reálnou možnost tuto distribuci pod Secure Boot provozovat.
Mělo by tam být zhruba toto: bootx64.efi (což je přejmenovaný Shim), grubx64.efi (klasický Grub2) a může tam být i MokManager.efi (pro vložení certifikátu do MOKlistu)
EFI System Partition a nová základní deska
petr 19. 02. 2014, 19:43:38
Odpovědět  Odkaz 
Kde ten "EFI System Partition" je, je to v nějaké NVRAM, nebo ve flash základní desky, nebo na HDD a případně na kterém HDD ho najdu (mám jich více)?
Ale taky když plánuju koupit novou základní desku atd. a provozovat jen linux, musím to vůbec řešit a na jaké distribuci ano a na jaké ne?
Díky.
Vladislav Konopík Re: EFI System Partition a nová základní deska
Vladislav Konopík 19. 02. 2014, 20:07:29
Odpovědět  Odkaz 
EFI System Partition je oddíl na HDD, což i z textu vyplývá (Nesmí být součástí LVM, raidu nebo být šifrován). Najdete jej na HDD ze kterého počítač bootuje a "řešit" to budete pouze při instalaci operačního systému. Některé operační systémy při instalaci potřebují nastavit bod připojení pro EFI System Partition na /boot/efi.
Marek Uher (Ne)upravujte UEFI a Secure Boot
Marek Uher 3. 06. 2014, 10:25:22
Odpovědět  Odkaz 
Pro Debian GNU/Linux 8 (Jessie) existuje pěkný návod, jak Secure Boot zprovoznit i v této distribuci:

http://burtness.wordpress.com/2014/02/08/secure-boot-with-debian-testing/
(Ne)upravujte UEFI a Secure Boot
Herman 11. 10. 2018, 07:12:19
Odpovědět  Odkaz 
Problém je v tom, že BIOS nemá v ponuke SECURE BOOT a všetky položky sú neaktívne, čiže si iba môžem pozrieť info o notebooku. Jedine sa dá nastaviť nová inštalácia WIN10 ako pri kúpe PC. Ani preflešovať bios sa nedá. Bootovať z USB ani CD-ROM ani iného zariadenia v biose nie je. Certifikát WIN10 ako aj inštalačky sú už priamo v ROM na základnej doske v mikročipe. Takže aj keby som tam chcel dať WIN7 alebo 8 alebo niečo iné (LINUX), tak nehrozí. Hlavne že tam dali 32 GB flash HDD, voľných je iba 28 GB, a WIN10 pri novej reinštalácii zožerie 15-20 GB. Keby som to vedel skôr, že kúpou notebooku sa vlastne zaväzujem používať v ňom WIN10 až do smrti, tak ho určite nekúpim. Nový notebook tak leží v krabici v pivnici, lebo uznajte že 10 GB pracovného priestoru nestačí a behom mesiaca sa celkom vyplní nezmyslami. Riešiť som to musel novým Notebookom, ale dával som si sakra pozor, aby tam naozaj nebol žiadny OS ani zadarmo. A frčí mi na LINUX MINT už 2 roky bez problémov a stačí mu 5 GB na celý systém s kancelárskymi, grafickými, hudobnými, video ... aplikáciami. V živote mi nezamrzol, nevypísal nedostatok pamäte ani iné debilné hlášky z Windowsu. Takže rada: NEKUPUJTE PC S PREDINŠTALOVANÝM WINDOWS. Nikdy !!!
(Ne)upravujte UEFI a Secure Boot
MOJEJMENO 30. 11. 2021, 14:26:51
Odpovědět  Odkaz 
já žádné secure boot nepotřebuji, nevím, co bych tím získal.
jediné, co má skutečně smysl, je šifrování disku, pokud mi ten disk někdo sebere.
smysl secure boot jsem nějak nepochopil.

ikdyž NEPOTŘEBUJI POUŽÍVAT ŽÁDNOU "VÝHODU" UEFI, tak sem Linux s Windows na jeden disk s dual boot nedostal.
Dostal sem na disk Windows, dostal sem na disk Linux, ale oba současně NE. Jo, možná to jde a já jsem lama, která to neumí. Ale prostě mám tento problém a bez UEFI jsem tento problém neměl.

nevěděl sem, že si mám zvolit openSUSE nebo Fedoru nebo Ubuntu kvůli uefi secure boot, ale o uefi secure boot sem neměl zájem.
a neměl sem zájem o uefi jako takové.
žel bez uefi nelze využít pevné disky nad 2 TB,
takže když mám disk nad 2 TB, tak musím povinně využívat funkce, které využívat NECHCI.

možná sem lama, ale za starých časů jsem žádné problémy řešit nemusel.