Secure Boot s CachyOS
Jak duálně bootovat CachyOS a Windows s povoleným Secure Boot
Budeme používat boot manager rEFInd.
-
Dočasně vypněte Secure Boot a nabootujte pomocí bootovatelného USB s CachyOS.
-
Nyní budete potřebovat aktivní připojení k internetu.
Klikněte na Launch Installer > Online > rEFInd.
-
Pokračujte s instalací. V kroku s vytvářením oddílů vyberte Ručně a vytvořte následující oddíl:
- Velikost: 500 MB
- Souborový systém: FAT32
- Přípojný bod: /boot/efi
- Flags: boot
-
Vytvořte zbylé oddíly (root, swap, atd.) a pokračujte s instalací. Po dokončení restartujte systém.
-
Nainstalujte balíčky
shim-signed
asbsigntools
z AUR. -
Spusťte tento příkaz pro znovu nainstalování rEFInd s instalovaným shimem a automatickým generováním klíčů pro podepsání binárek rEFInd:
Terminal window sudo refind-install --shim /usr/share/shim-signed/shimx64.efi --localkeys -
Pro odpovědi na výzvy zadejte
Y
a dokončete instalaci. -
Podepište kernel binárku pomocí klíčů generovaných rEFInd pomocí následujícího příkazu:
Terminal window sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/vmlinuz-linux-cachyos /boot/vmlinuz-linux-cachyosNázev vašeho kernelu se může lišit!
-
Jsme téměř hotovi! Nyní restartujte vaše zařízení, zapněte Secure Boot a normálně nabootujte.
-
Uvidíte zprávu:
Verification failed: Security Violation
. Stiskněte Enter. -
Otevře se Shim UEFI Key Management. Stiskněte libovolnou klávesu pro otevření MokManager.
-
V obrazovce Perform MOK management vyberte Enroll key from disk a procházejte do /EFI/refind/keys. Vyberte
refind_local.crt
. -
Stiskněte Enter > Continue > Yes.
-
Restartujte vaše zařízení.
Všechno by mělo nyní fungovat perfektně. Spusťte bootctl
pro kontrolu stavu Secure Boot.
Tipy a triky
Podepisování pomocí Hook
Podepisování kernelu může být automatizováno pomocí post hooku mkinitcpio. Viz Secure Boot#Signing the kernel with a mkinitcpio post hook.
Používání KeyTool
KeyTool může být použit pro přidání/odstranění/náhradu klíčů z NVRAM vašeho zařízení. Pro použití:
-
Zkopírujte
KeyTool.efi
:Terminal window sudo cp /usr/share/efitools/KeyTool.efi /boot/efi/EFI/refind/ -
Podepište
KeyTool.efi
:Terminal window sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/efi/EFI/refind/KeyTool.efi /boot/efi/EFI/refind/KeyTool.efi -
Vyberte KeyTool z bootovací obrazovky rEFInd pro otevření.
Poděkování
Díky Aritra Karak za napsání tohoto návodu!