Forum Linux.débutant que faire du secure boot en 2021 avec Linux seul ?

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
1
31
juil.
2021

Bonjour,

Je voudrais installer une Kubuntu 21.04 sur un nouveau portable. Je ne souhaite pas conserver Windows. Je n'arrive pas à trouver ce que je dois faire du secure boot dans ce cas là ; et si je dois quand même conserver (ou créer ?) une partition efi…

Si qqun peut m'éclairer sur ce sujet…

Meilleures salutations,

Bug.

  • # SB → UEFI

    Posté par  (site web personnel) . Évalué à 3.

    Sur tout un tas de distributions, dont je pense Kubuntu, Secure Boot ne devrait pas poser de problème, tu peux donc le laisser activé.

    Si tu démarres avec Secure Boot activé, ça sous-entend démarrer en mode UEFI (plutôt que BIOS = Legacy = CSM…), et ça veut dire avoir une partition ESP (EFI System Partition) sur le système déployé. Le système d'installation de ta distribution devrait faire le boulot pour toi.

    Debian Consultant @ DEBAMAX

    • [^] # Re: SB → UEFI

      Posté par  (Mastodon) . Évalué à 4. Dernière modification le 31 juillet 2021 à 17:15.

      Secure Boot ne devrait pas poser de problème

      Attention juste au terme Secure Boot. Si l'implémentation UEFI est allée au point d'embarquer des clés de signature sans laisser la possibilité de les désactiver, seul un OS signé par le fabriquant (bon… en général c'est les clés Microsoft donc seul un OS signé par Microsoft…) pourra booter. Là on n'a pas le choix, il faut booter en unsecure (si c'est possible…).

      Mais c'est vrai que beaucoup d'UEFI proposent une option unsecure qui sous-entend legacy en fait (mode BIOS à l'ancienne), alors qu'ils n'ont jamais été secure du tout (aucune vérification de signature de l'OS booté).

      Plus encore que pour le BIOS, l'utilisation d'UEFI dépend de l'implémentation du fabricant de la carte, la norme étant tellement riche (et complexe) que chaque fabriquant le fait un peu à sa sauce (surtout au tout début où on a vu tout et n'importe quoi, sûrement à l'origine de la mauvaise réputation de UEFI pour les Linuxiens).

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: SB → UEFI

        Posté par  (site web personnel) . Évalué à 4.

        J'ai l'impression qu'il y a une grosse confusion.

        Pour commencer, à propos du « si c'est possible » : À ma connaissance, sur architecture PC, une machine estampillée Windows 8 doit pouvoir laisser la possibilité de désactiver Secure Boot et/ou d'enrôler une MOK (Machine Owner Key).

        Quant à « OS signé par Microsoft » c'est un beaucoup trop gros raccourci. Il faut que le chargeur de démarrage soit signé par une autorité de confiance, c'est très différent d'un système d'exploitation complet. On trouve souvent le composant shim qui fait effectivement un tour pour se faire tamponner cryptographiquement, mais le reste peut être signé par d'autres clés (par exemple Debian Secure Boot CA). Cela inclut (mais n'est pas limité à) : GRUB, le noyau Linux, fwupd, etc. Des modules complémentaires (module patché, module propriétaire nvidia, etc.) peuvent être signés par l'administrateur local grâce à la MOK, qu'il conviendra d'enrôler dans le firmware (cf. mokutil).

        Debian Consultant @ DEBAMAX

    • [^] # Re: SB → UEFI

      Posté par  . Évalué à 1.

      Merci. J'ai tenté l'installation et effectivement, le programme m'a demandé de créer une partition efi (j'avais d'abord effacé le DD). L'installation a réussi. Tout semble fonctionner normalement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.