Clé autonome Grub - Amorçage UEFI compatible Secure Boot

Dernière mise à jour : Debian 10.3 / Buster

• L'objectif est ici de construire une clé USB autonome, amorçable sur une plate-forme UEFI, avec Secure Boot activé ou non activé
  

1 - Principe

La création de la clé comprend deux étapes :

• Création d'une clé comprenant une partition ESP
• Génération et installation sur la clé d'un "système grub" avec la commaande grub-install :
  
• la compatibilité Secure Boot est assurée par l'utilisation de shim
• le fichier grub uefi est semblable au fichier uefi d'une installation grub standard
  
• un répertoire /EFI/grub (fonctionnellement identique au répertoire /boot/grub d'une installation standard) est créé dans l'ESP
  

2 - Préparation de la clé

• Préparer une clé, partitionnée en mode GPT, avec une partition pour l'ESP, comme pour une clé autonome standard à amorçage UEFI : voir Clé autonome applications UEFI
  
• Dans ce qui suit, on suppose que la clé a pour identifiant /dev/sdb

$ lsblk -f /dev/sdb
NAME    FSTYPE LABEL UUID        FSAVAIL FSUSE% MOUNTPOINT
sdb                                                                   
└─sdb1  vfat   ESP   311C-4029 

• Créer le répertoire /EFI/BOOT à la racine de la clé
  

$ sudo mount /dev/sdb1 /mnt
$ sudo mkdir -p /mnt/EFI/BOOT

3 - Installation de grub

• Lancer l'instrallation de grub dans l'ESP de la clé USB avec

 $ sudo grub-install --efi-directory=/mnt --boot-directory=/mnt/EFI --removable --uefi-secure-boot \
--modules="keylayouts at_keyboard"

avec les options

• --removable : ne pas créer d'entrée dans la Nvram et installer le fichier d'amorçage (shimw64.efi) sous le nom de bootx64.efi dans le répertoire ESP/EFI/BOOT afin d'obtenir un media autoamorçable
  

• --efi-directory : où sera installé le fichier BOOT avec le fichier BOOTX64.EFI
  

• --boot-directory : où sera installé le répertoire grub avec les sous-dossiers fonts, locales, modules, ..

• --uefi-secure-boot
  

• Les répertoires EFI/BOOT et EFI/grub ont été créés sur le media amovible
  

$ sudo tree /mnt
/mnt
└── EFI
    ├── BOOT
    │   ├── BOOTX64.CSV
    │   ├── BOOTX64.EFI
    │   ├── fbx64.efi
    │   ├── grub.cfg
    │   ├── grubx64.efi
    │   └── mmx64.efi
    └── grub
        ├── fonts
        │   └── unicode.pf2
        ├── grubenv
.....
6 directories, 283 files

• L'amorçage s'effectue au moyen de /EFI/BOOT/BOOTX64.efi qui est une copie de l'image de shimx64.efi.signed

$ sudo grub-install --efi-directory=/mnt --boot-directory=/mnt/EFI --removable --uefi-secure-boot \
--verbose 2> >(grep BOOTX64.EFI)
grub-install : information : copying `/usr/lib/shim/shimx64.efi.signed' -> `/mnt/EFI/BOOT/BOOTX64.EFI'.

• Corriger le fichier associé à fbx64 dans le répertoire ESP/EFI/BOOT : nom du fichier à lancer et nom de l'entrée dans la Nvram
  

$ echo "bootx64.efi,grub,,Ceci est l'entrée d'amorçage automatique" |iconv -t UCS-2 | sudo tee /mnt/EFI/BOOT/BOOTX64.CSV

4 - Personnalisation

4.1 - Principe

• Au démarrage, grub lit le fichier de configuration /EFI/BOOT/grub.cfg :
  

$ cat /mnt/EFI/BOOT/grub.cfg 
search.fs_uuid 5AFE-E461 root hd1,gpt1 
set prefix=($root)'/EFI/grub'
configfile $prefix/grub.cfg

• Il est donc possible de personnaliser la console grub,
  
• en faisant prendre en considération un fichier de configuration dans le répertoire /EFI/boot sous le nom grub.cfg
• en ajoutant les fichiers tels que fond d'écran, disposition du clavier, dans ce même répertoire
  
• toutefois en mode secureboot, certains modules ne peuvent pas être chargés depuis la partition ESP .....
  

4.2 - Fichier grub.cfg

Voir Clé autonome Grub - Amorçage UEFI pour plus de détails

• Exemple de fichier grub.cfg. Noter la suppression des lignes de commentaire
  

$ cat <<EOF |sed '/^#/d' |sudo tee /mnt/EFI/grub/grub.cfg

# Clavier en dispositition française
# Fonctionne sur qemu en version non secure boot
# Ne fonctionne pas sur PC NUC (clavier USB non reconnu?), ne pas utiliser!
insmod keylayouts
insmod at_keyboard
terminal_input at_keyboard
keymap fr

# Mode graphique
insmod all_video
set gfxmode=auto
insmod gfxterm
insmod terminal
terminal_output gfxterm

# Papier peint
insmod png
insmod gfxterm_background
background_image /EFI/grub/splash.png

# Couleurs de texte
set color_normal=white/black
set color_highlight=black/white

# Textes en français (Note : La police unicode est chargée pour prendre en compte 
# l'affichage des caractères français sépcifiques (é,è,ç, ...)  
insmod font
loadfont unicode
insmod gettext
set locale_dir=/EFI/grub/locale
set lang=fr_FR

# Divers options utiles
set pager=1   
insmod linux
insmod boot
insmod halt
insmod reboot

EOF

4.3 - Fichier fr.gkb

• Générer le fichier fr.gkb de disposition des touches du clavier français avec la commande

$ sudo mkdir -p /mnt/EFI/grub/layouts
$ sudo grub-kbdcomp -o /mnt/EFI/grub/layouts/fr.gkb fr

Le nom du fichier est arbitraire, mais l'extension gkb est obligatoire

4.4 - Fichier splash.png

• Le fichier splash.png est un papier peint pour la console grub. Les formats png et jpeg sont autorisés. Dans l'exemple ci-dessous, le papier peint est le papier peint grub sélectionné par défaut par desktop-base

$ sudo cp /usr/share/images/desktop-base/desktop-grub.png /mnt/EFI/grub/splash.png

5 - Utilisation

• Démonter la clé

$ sudo umount /mnt

• Mettre la plate-forme en mode d'amorçage UEFI, secure boot désactivé ou activé
  
• Modifier l'ordre d'amorçage des périphériques, afin qu'il s'effectue en premier sur la clé USB
  
• Redémarrer
• Une console grub doit apparaître,
  
• En anglais, mode texte, dans le cas de l'image standard
• En français, en mode graphique avec un fond d'écran dans le cas de l'image personnalisée
• en mode non Secure Boot, le clavier est azerty si l'option est supportée (qemu par exemple) et installée , sinon en mode qwerty