Debian 9 有没有可能支持安全启动啊

每次装了Debian的硬盘离线一次,启动项就会被UEFI给抹掉…

lwn.net/Articles/703001/

虽然我建议还是关闭 secure boot 为好

[quote=“hosiet”]https://lwn.net/Articles/703001/

虽然我建议还是关闭 secure boot 为好[/quote]

要用win的话,关不关都影响不了结果
只要win单引导一次,deb的引导就会被抹掉。

可能deb是想保证系统纯净性不想找微软签名,但是我也希望能把它包到私有模块里让用户选啊

[quote=“techsonic”]

[quote=“hosiet”]https://lwn.net/Articles/703001/

虽然我建议还是关闭 secure boot 为好[/quote]

要用win的话,关不关都影响不了结果
只要win单引导一次,deb的引导就会被抹掉。

可能deb是想保证系统纯净性不想找微软签名,但是我也希望能把它包到私有模块里让用户选啊[/quote]

我的做法是配置 EFI 使得机器启动第一选项启动 grub,用 grub 引导 windows,从来没有“抹掉”的事情。当然我没开 secure boot,仅仅是 UEFI 启动而已。

[quote=“hosiet”]

我的做法是配置 EFI 使得机器启动第一选项启动 grub,用 grub 引导 windows,从来没有“抹掉”的事情。当然我没开 secure boot,仅仅是 UEFI 启动而已。[/quote]

我是有很多系统,如果共用引导的话长长的菜单恶心死人,而且我又经常体验新,编辑来编辑去太麻烦
所以我用了单硬盘单系统的方式,这样在安装系统的时候,其他的盘要离线。

如果就只有2、3个系统,这根本就不是问题,共用一个引导器你开不开安全启动都正常用

[quote=“techsonic”]

[quote=“hosiet”]

我的做法是配置 EFI 使得机器启动第一选项启动 grub,用 grub 引导 windows,从来没有“抹掉”的事情。当然我没开 secure boot,仅仅是 UEFI 启动而已。[/quote]

我是有很多系统,如果共用引导的话长长的菜单恶心死人,而且我又经常体验新,编辑来编辑去太麻烦
所以我用了单硬盘单系统的方式,这样在安装系统的时候,其他的盘要离线。

如果就只有2、3个系统,这根本就不是问题,共用一个引导器你开不开安全启动都正常用[/quote]

你这个需求太奇怪了,暂时想不出啥好方法(

[quote=“hosiet”]

[quote=“techsonic”]

我是有很多系统,如果共用引导的话长长的菜单恶心死人,而且我又经常体验新,编辑来编辑去太麻烦
所以我用了单硬盘单系统的方式,这样在安装系统的时候,其他的盘要离线。

如果就只有2、3个系统,这根本就不是问题,共用一个引导器你开不开安全启动都正常用

你这个需求太奇怪了,暂时想不出啥好方法([/quote]

不奇怪吧,比如工作的系统和自己平时玩的分开,免得东装西装又出问题,还有微软现在也在学linux滚测试版,这样一来系统就多了

其实没有什么技术问题,就是花钱找微软签一次名,那些有商业实体的发行版都这么搞,我猜想Deb可能因为血统问题不太愿意包含私有组件…
我也是刚尝试这个发行版,挺喜欢它的,第一印象反应真的很快…

[quote=“techsonic”]

[quote=“hosiet”]

你这个需求太奇怪了,暂时想不出啥好方法(

不奇怪吧,比如工作的系统和自己平时玩的分开,免得东装西装又出问题,还有微软现在也在学linux滚测试版,这样一来系统就多了

其实没有什么技术问题,就是花钱找微软签一次名,那些有商业实体的发行版都这么搞,我猜想Deb可能因为血统问题不太愿意包含私有组件…
我也是刚尝试这个发行版,挺喜欢它的,第一印象反应真的很快…[/quote]

签名是 Secure Boot 的必要条件,但是 UEFI 启动并不需要签名,完全可以关掉 Secure Boot 启用 UEFI。所以现在讨论的东西和签名无关。

你提到了不断更换硬件(硬盘)启动机器。要注意的是,你的主板固件里会写入 UEFI 启动顺序。如果你把硬盘都换了,主板找寻启动项时肯定不能成功,这时的启动顺序是无法控制的。(此处和 mbr 启动有根本上的区别)这才是我说你的需求与众不同的原因。如果你能保持 EFI 分区永远不变且可用,那么问题就简化很多很多了。

[quote=“hosiet”]
签名是 Secure Boot 的必要条件,但是 UEFI 启动并不需要签名,完全可以关掉 Secure Boot 启用 UEFI。所以现在讨论的东西和签名无关。

你提到了不断更换硬件(硬盘)启动机器。要注意的是,你的主板固件里会写入 UEFI 启动顺序。如果你把硬盘都换了,主板找寻启动项时肯定不能成功,这时的启动顺序是无法控制的。(此处和 mbr 启动有根本上的区别)这才是我说你的需求与众不同的原因。如果你能保持 EFI 分区永远不变且可用,那么问题就简化很多很多了。[/quote]

看起来你还是没有完全理解,首先一开始我讨论的就是安全启动。怎么会扯到UEFI去了呢,Deb对标准UEFI支持并无问题。我讨论的也是只有不支持安全启动才会出现的问题啊。

其次,不断更换硬盘(启动),这根本就不是问题,现代主板比你想的要智能得多,只要第一设置为HDD,开机按个键就会出硬盘菜单让你选,这和你用mbr还是UEFI无关,也不需要什么“保持EFI分区不变”,因为系统是独立在每个硬盘上的,每个硬盘有自己的efif分区,不存在变化的问题。

我再说明清楚一点吧,举个例子,我有2个硬盘,我先只单接一块装一个win10,装好后后拆掉,再单接另外一块硬盘,安装ubuntu(或者suse/redhat),这种情况下,系统装好后,我可以两个硬盘都装上去用,也可以随意只接一个硬盘,不会有问题。但如果我的硬盘2装的是不支持安全启动的发行版,那么,只要我在硬盘2离线的情况下,进一次win10,那么就算我把win10那块盘拆掉,只单接deb都启动不了,这和你说的uefi引导顺序完全不相干,因为,不管什么顺序,我只要主板设置“硬盘启动”,那么,我单接任何一块硬盘都可以启动(前提安全启动支持)。

再有说个无关的题外话,现在你去买块新主板,90%的几率拿到的是“win10”认证,这类型已经没有“安全启动”选项了,全是自适应的,不过,我也一再说明过,安全启动关闭与否不会影响结果,因为开与不开,对有签名的发行版都不是问题。

为啥你会认为需求与众不同?就我在别的发行版论坛看到的,有人只有两个系统两个硬盘,他们也想保持系统独立性,使用 这种选择硬盘启动而非共用菜单,但在装某个系统的时候为了不生成多引导,另外的硬盘需要断电。于是,没有签名的发行就出现问题了。

大概你会想知道为什么我会认为这个一定是不支持安全启动导致的问题,那是因为大概前两年我用suse的时候就遇到的这个问题,然后我上官网发帖子问,那边有个管理员回复“我用的版本不支持安全启动,建议我更新到13.1(这版本号可能有误,因为有点久了),这个版本他们获得了签名…”拿到新版本后我也做了同样的测试,安装系统的时候把“安全启动”选项取消,就会得到和现在的deb一样的结果,单独引导一次win,(那时候还只有8),suse就启动不了,只要选上,那就随便插拔硬盘都没问题

[quote=“techsonic”]

[quote=“hosiet”]
签名是 Secure Boot 的必要条件,但是 UEFI 启动并不需要签名,完全可以关掉 Secure Boot 启用 UEFI。所以现在讨论的东西和签名无关。

你提到了不断更换硬件(硬盘)启动机器。要注意的是,你的主板固件里会写入 UEFI 启动顺序。如果你把硬盘都换了,主板找寻启动项时肯定不能成功,这时的启动顺序是无法控制的。(此处和 mbr 启动有根本上的区别)这才是我说你的需求与众不同的原因。如果你能保持 EFI 分区永远不变且可用,那么问题就简化很多很多了。[/quote]

看起来你还是没有完全理解,首先一开始我讨论的就是安全启动。怎么会扯到UEFI去了呢,Deb对标准UEFI支持并无问题。我讨论的也是只有不支持安全启动才会出现的问题啊。

其次,不断更换硬盘(启动),这根本就不是问题,现代主板比你想的要智能得多,只要第一设置为HDD,开机按个键就会出硬盘菜单让你选,这和你用mbr还是UEFI无关,也不需要什么“保持EFI分区不变”,因为系统是独立在每个硬盘上的,每个硬盘有自己的efif分区,不存在变化的问题。

我再说明清楚一点吧,举个例子,我有2个硬盘,我先只单接一块装一个win10,装好后后拆掉,再单接另外一块硬盘,安装ubuntu(或者suse/redhat),这种情况下,系统装好后,我可以两个硬盘都装上去用,也可以随意只接一个硬盘,不会有问题。但如果我的硬盘2装的是不支持安全启动的发行版,那么,只要我在硬盘2离线的情况下,进一次win10,那么就算我把win10那块盘拆掉,只单接deb都启动不了,这和你说的uefi引导顺序完全不相干,因为,不管什么顺序,我只要主板设置“硬盘启动”,那么,我单接任何一块硬盘都可以启动(前提安全启动支持)。

再有说个无关的题外话,现在你去买块新主板,90%的几率拿到的是“win10”认证,这类型已经没有“安全启动”选项了,全是自适应的,不过,我也一再说明过,安全启动关闭与否不会影响结果,因为开与不开,对有签名的发行版都不是问题。

为啥你会认为需求与众不同?就我在别的发行版论坛看到的,有人只有两个系统两个硬盘,他们也想保持系统独立性,使用 这种选择硬盘启动而非共用菜单,但在装某个系统的时候为了不生成多引导,另外的硬盘需要断电。于是,没有签名的发行就出现问题了。

大概你会想知道为什么我会认为这个一定是不支持安全启动导致的问题,那是因为大概前两年我用suse的时候就遇到的这个问题,然后我上官网发帖子问,那边有个管理员回复“我用的版本不支持安全启动,建议我更新到13.1(这版本号可能有误,因为有点久了),这个版本他们获得了签名…”拿到新版本后我也做了同样的测试,安装系统的时候把“安全启动”选项取消,就会得到和现在的deb一样的结果,单独引导一次win,(那时候还只有8),suse就启动不了,只要选上,那就随便插拔硬盘都没问题[/quote]

嗯,现在明白了你的需求是主板必须打开安全启动。在这种情况下:

  • Debian 8 完全不支持安全启动,这个不用讨论了。
  • Debian 9 还没有发布,但是有 linux-signed 这个软件包。具体的实现见我第一个回复给的链接。

另外,Debian 是个社区项目,没有公司撑腰,所以不太可能向 Ubuntu 或者 suse 那样买签名。

最后,用不同的介质启动是常事,例如拿 U 盘启动 LiveCD 等等,但我觉得多介质的同时再移除介质(拔硬盘)还是不多见的。

[quote=“hosiet”]

嗯,现在明白了你的需求是主板必须打开安全启动。在这种情况下:

  • Debian 8 完全不支持安全启动,这个不用讨论了。
  • Debian 9 还没有发布,但是有 linux-signed 这个软件包。具体的实现见我第一个回复给的链接。

另外,Debian 是个社区项目,没有公司撑腰,所以不太可能向 Ubuntu 或者 suse 那样买签名。

最后,用不同的介质启动是常事,例如拿 U 盘启动 LiveCD 等等,但我觉得多介质的同时再移除介质(拔硬盘)还是不多见的。[/quote]

其实不是非要拔硬盘,因为你知道win用一段时间后还是重装比较好,当然也可以就这么直接装,这时候去掉其他硬盘是为了让这个新系统上不会有多余的启动项。如果系统多的话,这里会生成很长的一串项蛮恶心的。但是也存在非正常的情况,比如接触不良断电导致的离线,这样系统的引导也没了。

不过我还是觉得Debian理念上的原因多一些,99块基金会还是能出的吧,当然有其他的实现方案,但这个是目前最快的了 …

看这句,就和我想的差不多:

以前反对微软加入安全启动的我也投了票… 然而基于现实根本没有用啊…

不过,看起来好像很有希望的样子 那个网页上面写

就是说只要忍到3-4月就出头了吧…

https://lists.debian.org/debian-devel-announce/2017/04/msg00013.html

根据这篇,估计 9 的支持悬了…