Grub2 - Installation - Amorçage UEFI

Mise à jour : Debian 10.8 / Buster

Ce document décrit l'installation du chargeur Grub2 dans le cas d'un amorçage en mode UEFI. L'installation s'effectue en mode compatible secure boot avec les applications signées shimx64.efi, grubx64.efi, le noyau et les modules linux

Sommaire

1 - Principe

Références :

Afin d'être compatible avec le mode Secure Boot, l'amorçage depuis la plate-forme s'effectue via le chargeur intermédiaire shim, signé par la clé tierce partie de Microsoft
La suite de l'installation s'effectue en utilisant le certificat Debian compilé dans shim pour s'assurer de ne lancer que des systèmes signés par ce certificat tels que grub, le noyau et les modules linux. Les éventuels modules non signés (modules propriétaires par exemple), devront être signés au moyen de clés machine utilisateur (MOK)

2 - Configuration initiale

On suppose la plate-forme configurée en mode d'amorçage UEFI, avec Secure Boot activé ou non et le système démarré en mode UEFI.

Vérifier le mode d'amorçage uefi, le répertoire /sys/firmware/efi doit-être "peuplé"

$ ls /sys/firmware/efi/
config_table  esrt              fw_vendor  runtime-map
efivars       fw_platform_size  runtime    systab

Vérifier l'état du mode Secure Boot, dans le cas présent, désactivé

$ mokutil --sb-state
SecureBoot disabled

On suppose que le disque sur lequel doit-être installé grub est partitionné en mode GPT et dispose d'une partition pour l'ESP montée en /boot/efi

Vérifier le partitionnement du disque (GPT)

$ sudo blkid /dev/nvme0n1
/dev/nvme0n1: PTUUID="33b07ed8-b223-41d1-a880-dba78ecd4971" PTTYPE="gpt"

et le montage de la partition ESP en /boot/efi

$ findmnt /boot/efi
TARGET    SOURCE         FSTYPE OPTIONS
/boot/efi /dev/nvme0n1p1 vfat   rw,relatime,fmask=0077,dmask=0077,codepage=437,iocharset=ascii,shor

3 - Installation

3.1 - Installation du noyau

Les noyaux linux debian amd64 sont disponibles en deux versions : signé ou non signé.

La version signée se termine par -amd64,
la version non signée se termine par -amd64-unsigned et n'est compatible qu'avec l'amorçage en mode UEFI non signée
Utiliser la version signée qui peut-être installée avec le méta-paquet linux-image-amd64, et est compatible avec l'amorçage UEFI en mode secureboot activé ou non

$ aptitude search ~ilinux-image-amd64
i   linux-image-amd64                        - Linux pour les ordinateurs 64 bits (métapaquet

$ aptitude search ~ilinux-image-$(uname -r)          
i A linux-image-5.10.0-0.bpo.4-amd64         - Linux 5.10 for 64-bit PCs (signed)

3.2 - Installation de grub

Installer grub et ses dépendances à partir du paquet grub-efi-amd64

$ sudo aptitude install grub-efi-amd64

Par défaut, tous les paquets nécessaires à l'amorçage en mode secure boot, à la manipulation des clés propriétaires (MOK), etc... sont installés

$ aptitude search ~i-signed
i A grub-efi-amd64-signed                                  - GRand Unified Bootloader, version 2 (amd64 UEFI signed by Debian)
i A shim-helpers-amd64-signed                              - boot loader to chain-load signed boot loaders (signed by Debian) 
i   shim-signed                                            - Secure Boot chain-loading bootloader (Microsoft-signed binary)   
i A shim-signed-common            - boot loader to chain-load signed boot loaders under Secure Boot

3.3 - Mise à jour du fichier de configuration de grub

Créer ou mettre à jour le fichier de configuration de /boot/grub/grub.cfg comme pour une installation BIOS/MBE

$ sudo update-grub
Création du fichier de configuration GRUB…
....
Adding boot menu entry for EFI firmware configuration
fait

Noter la création d'une entrée pour "EFI firmware configuration" qui permettra de sélectionner dans le menu Grub le menu du micrologiel UEFI

3.4 - Installation de grub dans l'ESP

L'installation s'effectue automatiquement dans l'ESP montée en /boot/efi
Par défaut, elle s'effectue en mode compatible Secure Boot (option --uefi-boot-secure)

$ sudo grub-install

Un répertoire /EFI/debian est créé dans l'esp

$ sudo tree /boot/efi
/boot/efi
└── EFI
    └── debian
        ├── BOOTX64.CSV
        ├── fbx64.efi
        ├── grub.cfg
        ├── grubx64.efi
        ├── mmx64.efi
        └── shimx64.efi

2 directories, 6 files

Le répertoire contient des copies des versions signées de shimx64.efi, grubx64.efi, mmx64.efi, fbx64.efi

shimx64.efi - chargeur intermédiaire entre la plate-forme et grub
grubx64.efi - chargeur grub
mmx64.efi - gestionnaire de clés utilisateurs MOKs
fbx64.efi - chargeur de secours (actionné par shimx64 s'il ne trouve pas l'entrée grub64.efi dans son répertoire)

Le répertoire contient également

grub.cfg utilisé pour charger le fichier grub.cfg via le fichier configfile

$ sudo cat /boot/efi/EFI/debian/grub.cfg
search.fs_uuid f948cd31-18b2-4144-91f4-7840e122dfa7 root 
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

BOOTX64.CSV, le fichier de configuration du chargeur de secours fbx64.efi

$ sudo cat /boot/efi/EFI/debian/BOOTX64.CSV
shimx64.efi,debian,,This is the boot entry for debian

Le paramètre d'amorçage créé dans la nvram a pour nom debian

$ efibootmgr -v
BootCurrent: 0000
Timeout: 3 seconds
BootOrder: 0000
Boot0000* debian HD(1,GPT,feXXXX ad,0x800,0x106000)/File(\EFI\debian\shimx64.efi)

3.5 - Installation de grub dans un autre répertoire de l'ESP

Bien qu'il soit possible de spécifier un autre répertoire d'installation dans l'ESP que debian avec l'option --bootloader-id, le démarrage s'effectuera toujours selon les indications contenues dans le répertoire debian, il ne semble donc pas possible d'amorcer grub depuis un autre répertoire que debian ....

$ sudo grub-install --bootloader-id=buster

3.6 - Mode amorçage par défaut

Alternativement, installer grub dans l'ESP, en mode amorçage par défaut qui utilise les répertoires et fichiers d'amorçage de secours /EFI/BOOT/BOOTX64.EFI, avec l'option --removable

sudo grub-install --removable --uefi-secure-boot

aucune entrée d'amorçage n'est crée dans les variables efi
les fichiers sont placés dans le répertoire /efi/boot/EFI/BOOT

Le répertoire BOOT est créé

$ sudo tree /boot/efi/EFI/BOOT
/boot/efi/EFI/BOOT
├── BOOTX64.CSV
├── BOOTX64.EFI
├── fbx64.efi
├── grub.cfg
├── grubx64.efi
└── mmx64.efi

Le nom du fichier shim a automatiquement été modifié en bootx64.efi

Corriger le fichier boox64.CSV qui fait référence au fichier shimx64.efi au lieu de bootx64.efi

$ echo "bootx64.efi,debian,,Ceci est l'entrée d'amorçage automatique" |iconv -t UCS-2 | \
sudo tee /boot/efi/EFI/BOOT/BOOTX64.CSV

3.7 - Installation en mode non secure boot

Pour installer grub en mode UEFI non secureboot (il ne sera donc pas possible de démarrer en mode secure boot)

$ sudo grub-install --no-uefi-secure-boot

Le contenu de l'ESP est alors

$ sudo tree /boot/efi
/boot/efi
└── EFI
    └─ debian
       └── grubx64.efi

2 directories, 1 files

Le fichier grubx64 contient les informations nécessaires au lancement du menu grub dans le répertoire /boot/grub de la partition du système utilisé pour effectuer l'installation

L' entrée d'amorçage correspondante est créée :

Boot0000* grub       HD(1,GPT,fe9 XXXX ad,0x800,0x106000)/File(\EFI\debian\grubx64.efi)

4 - Redémarrage

Après redémarrage, le menu grub doit s'afficher. L'entrée System Setup permet d'atteindre le menu bios UEFI de la plate-forme

En espace utilisateur, vérifier que le lancement s'est bien effectué dans le mode Secure boot, par l'une des méthodes suivantes

Message du noyau

$ sudo dmesg |grep secureboot
[    0.000000] secureboot: Secure boot enabled

mokutil (outil du gestionnaire des clés propriétaires MOKs)

$ mokutil --sb-state
SecureBoot enabled

bootctl

$ bootctl |grep "Secure Boot"
  Secure Boot: enabled