Inštalácia CachyOS so zapnutým Secure Boot
Ako na dual-boot CachyOS a Windows so zapnutým Secure Boot
Budeme používať boot manager rEFInd.
-
Dočasne vypnite Secure Boot a bootujte pomocou bootovateľného USB s CachyOS.
-
Budete potrebovať aktívne internetové pripojenie.
Kliknite na Launch Installer > Online > rEFInd
-
Pokračujte v inštalácii, potom v kroku s partíciami vyberte Manual Partition a vytvorte partíciu s nasledujúcimi nastaveniami:
- Veľkosť: 500MB
- Súborový systém: fat32
- Montážny bod: /boot/efi
- Vlajky: boot
-
Vytvorte ostatné partície (root, swap atď.) a pokračujte v inštalácii. Po dokončení reštartujte.
-
Nainštalujte balíky
shim-signed
asbsigntools
z AUR. -
Teraz spustite tento príkaz na preinštalovanie rEFInd s nainštalovaným shim a generujte kľúče na automatické podpísanie binárnych súborov rEFInd:
Terminal window sudo refind-install --shim /usr/share/shim-signed/shimx64.efi --localkeys -
Pre potvrdenie výziev zadajte
Y
a dokončite inštaláciu. -
Teraz podpíšte binárny súbor jadra pomocou kľúčov generovaných rEFInd pomocou nasledujúceho príkazu:
Terminal window sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/vmlinuz-linux-cachyos /boot/vmlinuz-linux-cachyosNázov vášho jadra sa môže líšiť!
-
Sme takmer hotoví! Teraz reštartujte zariadenie a zapnite Secure Boot, potom bootujte normálne.
-
Zobrazí sa správa:
Verification failed: Security Violation
. Stlačte Enter. -
Otvorí sa Shim UEFI Key Management. Stlačte ľubovoľný kláves pre otvorenie MokManager.
-
Na obrazovke Perform MOK management: vyberte Enroll key from disk a prejdite na /EFI/refind/keys. Vyberte
refind_local.crt
. -
Stlačte Enter > Continue > Yes.
-
Reštartujte zariadenie.
Teraz by všetko malo fungovať perfektne. Spustite bootctl
, aby ste skontrolovali stav Secure Boot.
Tipy a triky
Podpisovanie s Hookom
Podpisovanie jadra môže byť automatizované pomocou mkinitcpio post hook, pozrite si Secure Boot#Signing the kernel with a mkinitcpio post hook.
Používanie KeyTool
KeyTool môže byť použitý na pridanie/odstránenie/nahradenie kľúčov v NVRAM vášho zariadenia. Na jeho použitie:
-
Skopírujte
KeyTool.efi
:Terminal window sudo cp /usr/share/efitools/KeyTool.efi /boot/efi/EFI/refind/ -
Podpíšte
KeyTool.efi
:Terminal window sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/efi/EFI/refind/KeyTool.efi /boot/efi/EFI/refind/KeyTool.efi -
Vyberte KeyTool z bootovacej obrazovky rEFInd, aby ste ho otvorili.
Kredity
Vďaka Aritra Karak za napísanie tohto návodu!