Přeskočit na obsah
CachyOS

Secure Boot s CachyOS

Jak duálně bootovat CachyOS a Windows s povoleným Secure Boot

Budeme používat boot manager rEFInd.

  1. Dočasně vypněte Secure Boot a nabootujte pomocí bootovatelného USB s CachyOS.

  2. Nyní budete potřebovat aktivní připojení k internetu.

    Klikněte na Launch Installer > Online > rEFInd.

  3. Pokračujte s instalací. V kroku s vytvářením oddílů vyberte Ručně a vytvořte následující oddíl:

    • Velikost: 500 MB
    • Souborový systém: FAT32
    • Přípojný bod: /boot/efi
    • Flags: boot

  4. Vytvořte zbylé oddíly (root, swap, atd.) a pokračujte s instalací. Po dokončení restartujte systém.

  5. Nainstalujte balíčky shim-signed a sbsigntools z AUR.

  6. Spusťte tento příkaz pro znovu nainstalování rEFInd s instalovaným shimem a automatickým generováním klíčů pro podepsání binárek rEFInd:

    Terminal window
    sudo refind-install --shim /usr/share/shim-signed/shimx64.efi --localkeys

  7. Pro odpovědi na výzvy zadejte Y a dokončete instalaci.

  8. Podepište kernel binárku pomocí klíčů generovaných rEFInd pomocí následujícího příkazu:

    Terminal window
    sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/vmlinuz-linux-cachyos /boot/vmlinuz-linux-cachyos

    Název vašeho kernelu se může lišit!

  9. Jsme téměř hotovi! Nyní restartujte vaše zařízení, zapněte Secure Boot a normálně nabootujte.

  10. Uvidíte zprávu: Verification failed: Security Violation. Stiskněte Enter.

  11. Otevře se Shim UEFI Key Management. Stiskněte libovolnou klávesu pro otevření MokManager.

  12. V obrazovce Perform MOK management vyberte Enroll key from disk a procházejte do /EFI/refind/keys. Vyberte refind_local.crt.

  13. Stiskněte Enter > Continue > Yes.

  14. Restartujte vaše zařízení.

Všechno by mělo nyní fungovat perfektně. Spusťte bootctl pro kontrolu stavu Secure Boot.

Tipy a triky

Podepisování pomocí Hook

Podepisování kernelu může být automatizováno pomocí post hooku mkinitcpio. Viz Secure Boot#Signing the kernel with a mkinitcpio post hook.

Používání KeyTool

KeyTool může být použit pro přidání/odstranění/náhradu klíčů z NVRAM vašeho zařízení. Pro použití:

  1. Zkopírujte KeyTool.efi:

    Terminal window
    sudo cp /usr/share/efitools/KeyTool.efi /boot/efi/EFI/refind/

  2. Podepište KeyTool.efi:

    Terminal window
    sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/efi/EFI/refind/KeyTool.efi /boot/efi/EFI/refind/KeyTool.efi

  3. Vyberte KeyTool z bootovací obrazovky rEFInd pro otevření.

Poděkování

Díky Aritra Karak za napsání tohoto návodu!