this post was submitted on 27 Aug 2025
9 points (100.0% liked)

Intergalaktische Bogengemeinschaft

358 readers
2 users here now

Willkommen in der Bogengemeinschaft!

Um euch den Einstieg so angenehm wie möglich zu machen, haben wir hier die wichtigsten Informationen zusammengestellt.

Für Nichtbogennutzer und Neulinge empfehlen wir euch, zunächst vollständig das Wiki zu lesen, bevor ihr eine Frage stellt: https://wiki.archlinux.org/

Fortgeschrittene Bogennutzer finden hier Unterstützung: https://wiki.archlinux.org/

Bei Anregungen und Ideen zu dieser Gemeinschaft bitten wir euch, davon abzusehen und das Wiki zu lesen: https://wiki.archlinux.org/

Weitere Informationen findet ihr hier: https://wiki.archlinux.org/

Wir wünschen euch viel Spaß in dieser Gemeinschaft!

Ehemals /c/bogengemeinschaft@feddit.de.

founded 2 years ago
MODERATORS
Peter_Arbeitslos@feddit.org
aaaaaaaaargh@feddit.org
9
Secureboot & dualboot erfahrungeen (feddit.org)
submitted 4 months ago by Quatlicopatlix@feddit.org to c/bogengemeinschaft@feddit.org
8 comments fedilink hide all child comments
 

Hi, ich will endlich auf endevaouros als Einstieg auf arch umsteigen, leider brauche ich für manche Sachen (bf6 und Zeug) noch win11. Wegen win11 brauche ich secureboot. Im archwiki habe ich bereits gelesen wie ich ein secureboot ans laufen bringen kann und keys generiere, mich würde aber interessieren wie eure erfahrungen mit secureboot und dualbooting sind gerade was updates angeht. Ich würde win11 auf eine separate platte packen aber ich bin mir noch nicht sicher was ich als erstes installieren soll oder welchen bootmanager man am besten benutzt. Win10 hat meine grub installation schon einmal kaputt gemacht da habe ich aber arch&grub nach win10 installiert.

Auf der Arbeit arbeite ich zur Zeit mit embedded linux (also yocto, uboot etc) und der wsl mit ubuntu.

you are viewing a single comment's thread
view the rest of the comments
[–] alanceil@feddit.org 4 points 4 months ago* (last edited 4 months ago) (1 children)

Ich lasse ein https://wiki.archlinux.org/title/Unified_kernel_image erzeugen, welches von sbctl im Anschluss eines Kernelupdates automatisch signiert wird. Das boote ich direkt ohne Bootloader. Gleichsam ist der Win11 bootmgfw.efi auch mit sbctl manuell signiert. Im Bootmenü registriert wird so ein UKI oder eine .efi Datei mit efibootmgr. Registrier dir noch eine EFI-Shell mit, dann kannst du notfalls mit anderen Kernelparametern booten.

Ein Rettungslinux auf einem USB-Stick solltest du auch signieren. Muss nicht ins Bootmenü. Wenn du das brauchst, kannst du es wenigstens per EFI-Shell starten.

Wenn du sbctl die MS-Zertifikate installieren lässt, tust du dich beim Windows Update leichter, da du dir das manuelle Signieren sparen kannst.

In meinem BIOS habe ich das Verifizieren des Option ROM ausgemacht. Sonst hast bei einem Zertifikatsunfall evtl. keine Grafikkartenausgabe mehr, da das GPU-BIOS auch signiert sein muss.

Nachtrag, falls dir das zu viel ist: Win11 will Secure Boot nur beim Installieren sehen. Es startet (noch) auch Ohne.

Ob das so alles mit EndeavourOS funktioniert, vermag ich dir leider nicht zu bestätigen. Wenn du gleich mit dem Bogen den Sprung ins kalte Wasser wagst, weißt du wenigstens genau, was du getan hast.

[–] Quatlicopatlix@feddit.org 2 points 4 months ago (1 children)

Ok viiiieeelen Dank für die umfangreiche Hilfe!!

Ich wollte mit endevaour erst mal eine arch basierte distro testen und dann schauen ob es sich lohnt alles selbst zu konfigurieren oder ob ich damit zufrieden bin, in erster linie geht es mir darum einen guten paketmanager zu haben der recht aktuelle pakete bietet, deswegen etwas arch basiertes.

Das mit dem signieren der schlüssel habe ich verstanden, der tipp noch einen usbstick mit zu signieren ist sehr gut, daran hätte ich nicht gedacht.

Ich habe aber noch nicht genau verstanden ob du noch einen seeparaten bootmanager hast bzw. Wie du auswählst welches os beim start gebootet werden soll? Endevaour ist ja arch basiert also hoffe ich, dass das signieren mit scbtl da so funktioniert wie unter reinem arch auch aber da wende ich mich noch einmal an das endevaour forum.

Ich bin wie gesagt eher im embeddes bereich unterwegs, da ist nichts mit uefi oder secureboot weil kein x86 sondern arm deswegen kenne ich mich noch nicht so ganz damit aus. Man muss da halt mit dem devicetree kämpfen und wissen wo genau die cpu nach ihrem bootloader sucht also eine ganz andere welt.

Werde mir das arch wiki auch nochmal dazu durchlesen.

[–] alanceil@feddit.org 1 points 4 months ago (1 children)

Das Start-OS wähle ich durch drücken von (bei mir) F11, damit bleibt der Bootvorgang bei einem Auswahlmenü stehen. Das sind alles Funktionen des BIOS, ich verwende keinen Grub/Shim/etc. Welche Einträge im Menü sind und was der Default ist, das verwaltest du mit dem efibootmgr Kommando.

[–] Quatlicopatlix@feddit.org 1 points 3 months ago (1 children)

Ich melde mich zurück da ich die Woche zum installieren gekommen bin aber es nicht schaffe das uki ans laufen zu bringen. Mit was erzeugst du das uki? Mir wäre am liebsten, dass das auch beim update automatisch passiert und gesigned wird. Mit scbtl sollte das signieren ja per hook automatisch gehen? Ich wollte das uki per dracut erzeugen da endevaouros ja eh dracut nutzt aber das klappt nicht richtig. Ich werde manchmal aus dem arch wiki nicht ganz schlau...

[–] alanceil@feddit.org 1 points 3 months ago* (last edited 3 months ago) (1 children)

Das passiert bei mir automatisch beim Update durch mkinitcpio. Das signieren geht, wie du schon schreibst, per Hook.

/etc/mkinitcpio.d/linux.preset:

ALL_kver="/boot/vmlinuz-linux"
PRESETS=('default')
default_uki="/boot/uki.efi"

Das liegt dann unter /boot/uki.efi und ist per efibootmgr direkt im UEFI eingetragen:

# efibootmgr -u
BootCurrent: 0005
Timeout: 1 seconds
BootOrder: 0005,0002
Boot0002* Shell HD(3,GPT,...)/\EFI\SHELL.EFI
Boot0005* Linux HD(3,GPT,...)/\UKI.EFI

Nicht vergessen, eine cmdline.conf zu erzeugen. z.B. /etc/cmdline.d/local.conf:

cryptdevice=PARTLABEL=ROOT:root root=/dev/mapper/root rw
[–] Quatlicopatlix@feddit.org 1 points 3 months ago (1 children)

Vieeeeelen Dank für die hilfe, wie das aber immer ist habe ich kurz bevor ich die antwort gesehen habe, es seblst geschafft. Mit dracut, systemd ukify und dem dracut ukify aur package funktioniert es problemlos.

Aals nächstes kümmere ich mich um die signierung mit scbtl, sollte ich neben dem liveusb noch einen backup uki signieren falls mal etwas schiefläuft? Du hast ja etwas von einer rescue shell geschrieben, meinst du den liveusb oder kommt die auch in die esp partition?

[–] alanceil@feddit.org 1 points 3 months ago* (last edited 3 months ago) (1 children)

Mit rescue shell meine ich die EFI Shell, die kommt ins ESP. Ich habe neben meinem Hauptkernel (oben in der Config) auch noch einen lts Kernel im ESP liegen. Wenn ein Treiber mal wieder nicht mag, kann ich damit alternativ Booten.

[–] Quatlicopatlix@feddit.org 1 points 3 months ago

Ahh ok danke für den Tipp, vieelen dank!! :)