Debian 10.8.0 Live bootet nicht bei aktiviertem Secure Boot

[Debianler]

Hallo zusammen,

ich kriege meinen Debian Live USB-Stick nicht gestartet, wenn ich bei meinem Rechner Secure Boot aktiviert habe. Ich starte mein Live System über einen stand-alone grub (Quelle: Ubuntuusers Wiki-Artikel) und erhalte folgende Meldung:

Code: Alles auswählen

error: /live/vmlinuz-4.19.0-14-amd64 has invalid signature.
error: you need to load the kernel first.

Press any key to continue ...

Was mich allerdings verwundert:
Wenn ich die Debian ISO auf den USB-Stick direkt entpacke (oder alternativ die ISO mit Rufus auf den Stick spiele) und diesen Stick dann starte, kann ich das Live-System im EFI-Modus mit aktiviertem Secure Boot starten. Am stand-alone grub kann es aber nicht liegen, denn der ist Secure Boot-tauglich. Eine vollständige Debian-Installation z. B. kann ich auf diese Weise problemlos auch mit Secure Boot starten.

Kann es sein, dass sich die Secure Boot-Tauglichkeit von vmlinuz-4.19.0-14-amd64 je nach Art des Bootvorgangs (stand-alone grub oder "grub aus der ISO") unterscheiden kann?

Im Folgenden erkläre ich kurz den Aufbau meines Live-Systems bzw. des USB-Sticks (bei der Partitionierung habe ich mich an die Schritte aus dem obigen Artikel gehalten):

Code: Alles auswählen

Nummer  Anfang  Ende    Größe   Dateisystem  Name                  Flags
 1      1049kB  2097kB  1049kB               BIOS boot partition   bios_grub
 2      2097kB  54,5MB  52,4MB  fat32        EFI system partition  boot, esp
 3      54,5MB  107MB   52,4MB  ext4         biosgrub-files        msftdata
 4      107MB   4402MB  4295MB  ext4

Die Debian-ISO habe ich in Partition 4 entpackt, geladen wird das System im EFI-Modus aus der Partition 2, in der ich den stand-alone grub mittels des folgenden Befehls (aus der o. g. Quelle) aus einem Ubuntu Live-System heraus installiert habe (in /mnt ist die Partition 2 gemountet):

Code: Alles auswählen

sudo grub-install --target=x86_64-efi --recheck --removable --efi-directory=/mnt --boot-directory=/mnt/boot 

Wichtig:
Grub muss aus einem Ubuntu System heraus installiert werden. Installiere ich Grub mit obigem Befehl aus einem Debian System heraus, kann ich den Stick später im EFI-Modus gar nicht starten. Warum das so ist, weiß ich nicht.

Anschließend habe ich eine grub.cfg erstellt und folgendes steht zum Laden des Debian Live-Systems drin:

Code: Alles auswählen

menuentry "EFI: debian-live-10.8.0-amd64-gnome+nonfree.iso" {
        insmod part_gpt
	set root=(hd0,gpt4)
	linux /live/vmlinuz-4.19.0-14-amd64 boot=live components locales=de_DE.UTF-8 bootkbd=de console-setup/layoutcode=de quiet splash
	initrd /live/initrd.img-4.19.0-14-amd64
}

Im Wesentlichen stehen da dieselben Parameter drin wie in der grub.cfg, die in der ISO vorhanden ist. Ich kann daher absolut nicht nachvollziehen, weshalb ich das Live-System über den stand-alone grub nicht mit Secure Boot starten kann, über den grub aus der ISO aber schon.

Für Hilfe wäre ich sehr dankbar.

Viele Grüße
Debianler

[siegfried389]

jO!!!
Das wundert mich auch immer wieder , das Rufus funkioniert , obvwohl er sagt : Secure abschalten

Diese ganzen Dinger rufus , yumi , Balena emulieren ja letztendlich eine CD-Rom,

Du kannst auch den Stick wie eine GPT-Festplatte erstellen , mit Efi , und hinten dran ex4 , usw
Das bootet genau so
In der EFI ist dann bei mir der AIO-Booter drin ,, der über chain-boot den Refind startet.
Bei Secure-boot wird dann nur 1x beim Start über dem Mok-Manager ein Certi eingespielt.
dann ist ruhe
Alles was AIO dann startet , bekommt temp Certi aut, auch der Linux -kernel

Ich benutze den AIO-Boot auch auf meiner richtigen Linux-Installation, Secureboot on
Grub nutze ich ncht, denn hab schon oft erlebt , das er nicht in das NV-Ram schreiben konnte.
AIO mit Fallback-Efi geht immer , muss nix im NV-.Ram sein

[Debianler]

Hallo Siegfried,

Diese ganzen Dinger rufus , yumi , Balena emulieren ja letztendlich eine CD-Rom,

Ok, das erklärt, wieso es über Rufus funktioniert, aber in meiner Konfiguration oben nicht. Trotzdem verwundert es mich, dass meine Konfiguration nicht durch Secure Boot kommt, denn der Kernel vmlinuz-4.19.0-14-amd64 ist ja m. W. signiert. Wenn ich auf diese Weise ein auf dem USB-Stick installiertes Debian starte, funktioniert das ohne ein Meckern von Secure Boot, aber im Falle eines Live-Systems will er nicht so richtig ...

AIO-Booter hört sich ganz gut, aber ich habe jetzt keine Lust auf eine komplett neue Konfiguration, daher bleibe ich Grub. Außerdem habe ich mit Grub sonst keine schlechten Erfahrungen.

Ich habe in der Zwischenzeit eine Lösung gefunden:

Ich habe den Stick wie oben partitioniert, nur dass ich diesmal der EFI-Partition mehr Speicherplatz gegeben habe. Anschließend habe ich mittels UNetbootin die Live-ISO auf die EFI-Partition entpackt. So komme ich auch problemlos durch Secure Boot.

Das einzige, was noch stört, ist, dass die Tastaturbelegung im geladenen Live-System auf Englisch ist (das System selbst ist auf Deutsch), obwohl ich in der grub.cfg folgende Parameter angegeben habe:

Code: Alles auswählen

enuentry "Debian GNU/Linux Live (kernel 4.19.0-14-amd64)" {
  linux  /live/vmlinuz-4.19.0-14-amd64 boot=live components locale=de_DE keyb=de locales=de_DE.UTF-8 bootkbd=de console-setup/layoutcode=de quiet splash "${loopback}"
  initrd /live/initrd.img-4.19.0-14-amd64
}

Vielleicht hat noch jemand diesbezüglich einen Rat für mich? Ansonsten lebe ich einfach mit der englischen Tastatur und stelle sie bei Bedarf im Live-System auf Deutsch um.

Viele Grüße
Debianler