AstraLinux с SecureBoot

Max_Agent

New member
Сообщения
5
#1
Всем привет, если форум живой конечно... В общем, я захотел подружить AstraLinux с SecureBoot, чтобы можно было запускать с ним. Следовал данной инструкции: тык. В итоге столкнулся с проблемой: Astralinux dir in EFI part not found. При этом, сама данная директория astralinux в EFI присутствует. Как её решить-то? И ещё, при установке новых ключей старые же стираются, верно? Можно ли сделать подобие резервной копии или только хардкор-перепрошивка UEFI?


Screenshot_20181218_030832.png
Screenshot_20181220_000119.png
 

EvilDev

New member
Сообщения
2
#2
Я бы проверил, отключен ли режим Legacy в биосе, у самого все работает условно хорошо. Условно, потому что из-за отсутствия в базе ключей сертификата от майкрософта отваливаются GOP драйвера как встроенной видеокарты, так и дискретной (и система банально не грузится дальше биоса с отключенным CSM). Подробнее про необходимость сертификата майков тут: https://habr.com/post/273497/
По ключам - дефолтные ключи висят в самой прошивке материнки, на сколько мне известно и как следует из моих личных опытов, восстановить их можно в биосе (как раз в разделе, отвечающим за Secure Boot).

И дабы не плодить похожие темы про Secure Boot, задам свой вопрос: есть необходимость использовать Dual Boot с Windows, при этом не отключая Secure Boot. Как быть? Метод с вики оставляет только ключи для астралинукса, что не подходит, уже написал выше почему+отваливается возможность использовать Windows. Попытки сделать свои ключи успешны, но что конкретно надо подписать у Астралинукса? Подписание grub64x.efi результата не дает, сваливаюсь в rescue mode граба с жалобой на Secure boot (secure boot forbids loading module from .../normal.mod). Пробовал подписывать бинарник из Efi/Boot - так же бесполезно. Вроде бы попытки подписать ядра тоже ничего не дают, но это пока не совсем точно. В итоге вот уже неделю бьюсь в экспериментах в попытке завести Win10+AstraLinux+SecureBoot+опционально rEFInd. Буду благодарен за помощь. В идеале было бы отучить астру от граба и запускать, используя EFI напрямую, так как граб по сути ненужное наследие древних времен.
 

EvilDev

New member
Сообщения
2
#3
Windows и AstraLinux по факту несовместимы в режиме SecureBoot.
Не соглашусь с вами, так как по сути через команду astra-secureboot банально делается в автоматическом режиме тот процесс, который описан по ссылке на хабре, но с какими-то дополнениями уже после создания ключей и подписания загрузчика (или до, в данном случае не важно). Единственное, что не дает загрузиться windows после данной команды - отсутствие в db ключей Microsoft Windows Production CA 2011, которым MS подписывает собственные загрузчики, и Microsoft UEFI driver signing CA, которым подписываются компоненты третьих сторон (например Shim, GOP драйвера и тд.). Вот мне и интересно, что там делается, чтобы понимать в какую сторону копать, так как любой другой дистрибутив линукса с легкостью отучается от граба, чего не сказать об астралинуксе (но то, что он отучается - тоже факт).