efibootguard statt grub für Bookworm?

[cosmac]

Guten Morgen!

kann es sein, dass man grub praktisch nicht deinstallieren kann? Dass das einfach nicht vorgesehen ist?

Nach einer ziemlich normalen Neu-Installation ist grub als essential markiert und lässt sich deshalb nur mit Gewalt entfernen: apt purge grub* sagt "Removing essential system-critical packages is not permitted." Theoretisch sollte es funktionieren, wenn man gleichzeitig ein anderen Bootloader installiert. Aber bei meinen Versuchen blieben viele Dateien übrig und es gab viele Ungereimtheiten.

Also blieb grub drauf und efibootguard wurde parallel installiert. Dank UEFI sollte das kein Problem sein. Allerdings ändert grub UEFI-Variablen. Bei der Neu-Installation gibt es die Frage "Update NVRAM variables to automatically boot into Debian?", aber ein "NO" verhindert das nicht. Was natürlich meistens zweckmäßig ist. Aber ich fürchte, dass auch später UEFI-Variablen geändert werden, z.B. beim Kernel-Update von update-grub oder irgendeinem anderen Script. Selbst wenn ich die ganzen Mechanismen verstehen würde, könnte es mit Trixie trotzdem schief gehen.

Deshalb wäre mir ein System ganz ohne grub viel lieber. Ich könnte ohne grub neu installieren (der Installer bietet das an), aber ich bin nicht überzeugt, dass dann ein Kernel-Update rund läuft. Dazu waren die Versuche zur Deinstallation zu chaotisch. Schon mal vielen Dank für tröstende Worte

[dasebastian]

Bei mir läuft das via systemd-boot und nachdem das eingerichtet ist, kann ich grub-common ohne Probleme purgen. Ist bei mir gar nicht drauf.

[cosmac]

Interessant, hier sieht es etwas anders aus. Das meinte ich mit Ungereimtheiten:

Code: Alles auswählen

root@zucchini:~# apt purge grub-common
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:
The following packages have unmet dependencies:
 grub-efi-amd64-signed : Depends: grub-common (>= 2.06-13+deb12u1) but it is not going to be installed
                         Recommends: shim-signed but it is not going to be installed
E: Error, pkgProblemResolver::Resolve generated breaks, this may be caused by held packages.
root@zucchini:~# dpkg -l | egrep 'grub|shim'
ii  grub-common               2.06-13+deb12u1                 amd64  GRand Uni
ii  grub-efi-amd64            2.06-13+deb12u1                 amd64  GRand Uni
ii  grub-efi-amd64-bin        2.06-13+deb12u1                 amd64  GRand Uni
ii  grub-efi-amd64-signed     1+2.06+13+deb12u1               amd64  GRand Uni
ii  grub2-common              2.06-13+deb12u1                 amd64  GRand Uni
ii  shim-helpers-amd64-signed 1+15.8+1~deb12u1                amd64  boot load
ii  shim-signed:amd64         1.44~1+deb12u1+15.8-1~deb12u1   amd64  Secure Bo
ii  shim-signed-common        1.44~1+deb12u1+15.8-1~deb12u1   all    Secure Bo
ii  shim-unsigned:amd64       15.8-1~deb12u1                  amd64  boot load

Eigentlich sollte efibootguard genau wie systemd-boot funktionieren. In den beiden Paketen sehe ich keinen Unterschied. Also irgendwas mache ich grundlegend falsch. Dabei habe ich mir extra Mühe gegeben, eine ganz normale Installation zu machen

[dasebastian]

Interessant, hier sieht es etwas anders aus. Das meinte ich mit Ungereimtheiten:
Dabei habe ich mir extra Mühe gegeben, eine ganz normale Installation zu machen

Neu installieren kann ja nur ich, das darfst du nicht vergessen! Du kannst nur Upgrades.

Aber ist efibootmgr nicht nur ein Tool und nicht ein Bootmanager wie systemd-boot selbst? Ich habe ja wie gesagt systemd-boot installiert und kann aber mit efibootmgr Einstellungen vornehmen.

EDIT: Sorry, ich hab da was vertauscht. Du redest ja von efibootguard!

[KP97]

Schon mal vielen Dank für tröstende Worte ;)

Wenn Du Dein System grubfrei haben willst, kann ich systemd-boot nur wärmstens empfehlen.
Dem ist es völlig schnurz, ob da noch Grub oder irgendwelche Reste im System sind, der setzt sich "obendrüber" und werkelt alsdann zuverlässig und klaglos vor sich hin.
Den efibootguard kenne ich nicht, kann ich also nichts zu sagen.

Ich habe vor längerer Zeit mal eine Anleitung zu systemd-boot geschrieben. Du als altgedienter Debianuser wirst das wohl nicht brauchen, als Anhaltspunkt ist es evtl. nützlich.
Ich hänge es mal an viewtopic.php?t=188720

[cosmac]

Wenn Du Dein System grubfrei haben willst, kann ich systemd-boot nur wärmstens empfehlen.
Dem ist es völlig schnurz, ob da noch Grub oder irgendwelche Reste im System sind

Ja, zu Anfang sieht es so aus, das ist ja mit UEFI ausdrücklich so vorgesehen. Aber mir ist das nicht schnurz, was die Grub-Reste irgendwann bei einem Update machen könnten. Grub nistet sich an so vielen Stellen im System ein... Grub und systemd-boot ändern beide irgendwas in den UEFI-Einstellungen, das passt mir auch nicht. Beim systemd-boot habe ich den Verdacht, dass der sogar beim Booten noch eine Variable neu schreibt, nicht nur bei der Installation, und das geht nun absolut überhaupt nicht.

Von der Paketverwaltung her sehe ich keinen Unterschied zwischen systemd-boot und efibootguard, ansonsten ist die einzige Gemeinsamkeit die Einfachheit. Wobei efibootguard noch einfacher ist, man kann den "installieren", indem man 3 bis 4 Dateien kopiert. Das ist für mich der entscheidende Vorteil.

Mein Plan sieht jetzt so aus: Ein Script wird vom USB-Stick gestartet, richtet mit sfdisk die Partitionen ein und auch alle Dateisysteme. Dann kopiert es die Bootloader-Dateien, einen Kernel und eine initrd. Dann startet man eine normale Debian-Installation im Expert Mode und installiert in eine der vorbereiteten Partitionen. Und zwar ohne Grub, ein Bootloader ist ja schon drauf. Falls beide USB-Sticks aktuell waren, war's das. Ansonsten muss man noch den neueren Kernel und die initrd kopieren. Mal sehen, was da rauskommt...

Ich habe vor längerer Zeit mal eine Anleitung zu systemd-boot geschrieben. Du als altgedienter Debianuser wirst das wohl nicht brauchen, als Anhaltspunkt ist es evtl. nützlich. Ich hänge es mal an viewtopic.php?t=188720

Interessant ist das schon, danke!

[dasebastian]

Grub nistet sich an so vielen Stellen im System ein... Grub und systemd-boot ändern beide irgendwas in den UEFI-Einstellungen, das passt mir auch nicht. Beim systemd-boot habe ich den Verdacht, dass der sogar beim Booten noch eine Variable neu schreibt, nicht nur bei der Installation...

Also Grub wegzuputzen ist jetzt nicht so die Raketenwissenschaft, ein erster Anfang ist mit dem Archwiki-Grub-Artikel gemacht.

Was es mit deinem weiteren Verdacht bzgl. systemd-boot auf sich hat, kann ich hier auf einer systemd-boot-only-Maschine nicht nachvollziehen. Da wird nichts gedreht oder ständig neu geschrieben, ganz im Gegenteil, systemd-boot läuft derartig rund, daß man überhaupt nichts mitbekommt davon. Und ja, ich habe auch direkt in der Firmware nachgesehen, was da so passiert ist in der letzten Zeit...

[KP97]

Da wird nichts gedreht oder ständig neu geschrieben, ganz im Gegenteil, systemd-boot läuft derartig rund, daß man überhaupt nichts mitbekommt davon.

Kann ich genauso bestätigen. Auch hier gibt es seit über 1,5 Jahren keine Beanstandungen mit systemd-boot.
Was mir noch einfällt: in der Datei /etc/kernel-img.conf sollte überall der Wert "no" stehen.

@cosmac
Mit "Reste" meinte ich, wenn man Grub und systemd-boot noch parallel auf dem System hat. Ansonsten kann man Grub komplett entfernen.

[dasebastian]

... in der Datei /etc/kernel-img.conf sollte überall der Wert "no" stehen.

+1