Bonjour,
Je voudrais installer une Kubuntu 21.04 sur un nouveau portable. Je ne souhaite pas conserver Windows. Je n'arrive pas à trouver ce que je dois faire du secure boot dans ce cas là ; et si je dois quand même conserver (ou créer ?) une partition efi…
Si qqun peut m'éclairer sur ce sujet…
Meilleures salutations,
Bug.
# SB → UEFI
Posté par Cyril Brulebois (site web personnel) . Évalué à 3.
Sur tout un tas de distributions, dont je pense Kubuntu, Secure Boot ne devrait pas poser de problème, tu peux donc le laisser activé.
Si tu démarres avec Secure Boot activé, ça sous-entend démarrer en mode UEFI (plutôt que BIOS = Legacy = CSM…), et ça veut dire avoir une partition ESP (EFI System Partition) sur le système déployé. Le système d'installation de ta distribution devrait faire le boulot pour toi.
Debian Consultant @ DEBAMAX
[^] # Re: SB → UEFI
Posté par gUI (Mastodon) . Évalué à 4. Dernière modification le 31 juillet 2021 à 17:15.
Attention juste au terme Secure Boot. Si l'implémentation UEFI est allée au point d'embarquer des clés de signature sans laisser la possibilité de les désactiver, seul un OS signé par le fabriquant (bon… en général c'est les clés Microsoft donc seul un OS signé par Microsoft…) pourra booter. Là on n'a pas le choix, il faut booter en
unsecure
(si c'est possible…).Mais c'est vrai que beaucoup d'UEFI proposent une option
unsecure
qui sous-entendlegacy
en fait (mode BIOS à l'ancienne), alors qu'ils n'ont jamais étésecure
du tout (aucune vérification de signature de l'OS booté).Plus encore que pour le BIOS, l'utilisation d'UEFI dépend de l'implémentation du fabricant de la carte, la norme étant tellement riche (et complexe) que chaque fabriquant le fait un peu à sa sauce (surtout au tout début où on a vu tout et n'importe quoi, sûrement à l'origine de la mauvaise réputation de UEFI pour les Linuxiens).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: SB → UEFI
Posté par Cyril Brulebois (site web personnel) . Évalué à 4.
J'ai l'impression qu'il y a une grosse confusion.
Pour commencer, à propos du « si c'est possible » : À ma connaissance, sur architecture PC, une machine estampillée Windows 8 doit pouvoir laisser la possibilité de désactiver Secure Boot et/ou d'enrôler une MOK (Machine Owner Key).
Quant à « OS signé par Microsoft » c'est un beaucoup trop gros raccourci. Il faut que le chargeur de démarrage soit signé par une autorité de confiance, c'est très différent d'un système d'exploitation complet. On trouve souvent le composant
shim
qui fait effectivement un tour pour se faire tamponner cryptographiquement, mais le reste peut être signé par d'autres clés (par exempleDebian Secure Boot CA
). Cela inclut (mais n'est pas limité à) : GRUB, le noyau Linux, fwupd, etc. Des modules complémentaires (module patché, module propriétaire nvidia, etc.) peuvent être signés par l'administrateur local grâce à la MOK, qu'il conviendra d'enrôler dans le firmware (cf.mokutil
).Debian Consultant @ DEBAMAX
[^] # Re: SB → UEFI
Posté par Bugomiel . Évalué à 1.
Merci. J'ai tenté l'installation et effectivement, le programme m'a demandé de créer une partition efi (j'avais d'abord effacé le DD). L'installation a réussi. Tout semble fonctionner normalement.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.