Preskočiť na obsah
CachyOS

Inštalácia CachyOS so zapnutým Secure Boot

Ako na dual-boot CachyOS a Windows so zapnutým Secure Boot

Budeme používať boot manager rEFInd.

  1. Dočasne vypnite Secure Boot a bootujte pomocou bootovateľného USB s CachyOS.

  2. Budete potrebovať aktívne internetové pripojenie.

    Kliknite na Launch Installer > Online > rEFInd

  3. Pokračujte v inštalácii, potom v kroku s partíciami vyberte Manual Partition a vytvorte partíciu s nasledujúcimi nastaveniami:

    • Veľkosť: 500MB
    • Súborový systém: fat32
    • Montážny bod: /boot/efi
    • Vlajky: boot

  4. Vytvorte ostatné partície (root, swap atď.) a pokračujte v inštalácii. Po dokončení reštartujte.

  5. Nainštalujte balíky shim-signed a sbsigntools z AUR.

  6. Teraz spustite tento príkaz na preinštalovanie rEFInd s nainštalovaným shim a generujte kľúče na automatické podpísanie binárnych súborov rEFInd:

    Terminal window
    sudo refind-install --shim /usr/share/shim-signed/shimx64.efi --localkeys

  7. Pre potvrdenie výziev zadajte Y a dokončite inštaláciu.

  8. Teraz podpíšte binárny súbor jadra pomocou kľúčov generovaných rEFInd pomocou nasledujúceho príkazu:

    Terminal window
    sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/vmlinuz-linux-cachyos /boot/vmlinuz-linux-cachyos

    Názov vášho jadra sa môže líšiť!

  9. Sme takmer hotoví! Teraz reštartujte zariadenie a zapnite Secure Boot, potom bootujte normálne.

  10. Zobrazí sa správa: Verification failed: Security Violation. Stlačte Enter.

  11. Otvorí sa Shim UEFI Key Management. Stlačte ľubovoľný kláves pre otvorenie MokManager.

  12. Na obrazovke Perform MOK management: vyberte Enroll key from disk a prejdite na /EFI/refind/keys. Vyberte refind_local.crt.

  13. Stlačte Enter > Continue > Yes.

  14. Reštartujte zariadenie.

Teraz by všetko malo fungovať perfektne. Spustite bootctl, aby ste skontrolovali stav Secure Boot.

Tipy a triky

Podpisovanie s Hookom

Podpisovanie jadra môže byť automatizované pomocou mkinitcpio post hook, pozrite si Secure Boot#Signing the kernel with a mkinitcpio post hook.

Používanie KeyTool

KeyTool môže byť použitý na pridanie/odstránenie/nahradenie kľúčov v NVRAM vášho zariadenia. Na jeho použitie:

  1. Skopírujte KeyTool.efi:

    Terminal window
    sudo cp /usr/share/efitools/KeyTool.efi /boot/efi/EFI/refind/

  2. Podpíšte KeyTool.efi:

    Terminal window
    sudo sbsign --key /etc/refind.d/keys/refind_local.key --cert /etc/refind.d/keys/refind_local.crt --output /boot/efi/EFI/refind/KeyTool.efi /boot/efi/EFI/refind/KeyTool.efi

  3. Vyberte KeyTool z bootovacej obrazovky rEFInd, aby ste ho otvorili.

Kredity

Vďaka Aritra Karak za napísanie tohto návodu!