Comments 22
А, ну и чтобы система точно установилась))
Маловероятно это не профиль нашей компании.
Попробуйте ventoy. Судя по всему, не совсем то, о чем вы спрашиваете, но на выходе таки получается загрузочная флешка с любой виндой и не только.
Если в прошивке машины, на которую будете ставить Windows, есть драйвер NTFS (на FAT32 install.wim может не влезть, если его размер превышаает ограничения FAT32), то можно просто распаковать содержимое образа на флешку - EFI-загрузка работает с любой ФС, лишь бы прошивка могла прочитать файловую систему.
Эх, была бы возможность чекнуть галочку при установке, чтобы сделать всё хорошо.
Не помню в каком дистре видел зашифрованный boot автоматом, без uefi правда.
В принципе это возможно в grub2 с какой то версии он стал поддерживать шифрованный раздел /boot/ но в нём есть ограничение на поддерживаемый формат LUKS и самое противное это необходимость вводить пароль дважды. И нет возможности удалённо ввести пароль по ssh
На самом деле там есть обход через... Раскрытие основного раздела через сохраненный ключ. Т.е. бут раскрывается через ввод пароля (на первой версии luks, да), а дальше используется сохраненный на зашифрованном разделе ключ.
Разумеется, минусы есть: лежащий в относительном доступе ключ (после загрузки), первая версия luks. Зато вектор атаки без основной дыры.
Безопасней держать загрузчик на флешке
Ручной вариант установки
Нужно загрузиться с установщика и выбрать экспертный режим.
debian-12.6.0-amd64-netinst.iso 2024-06-29 13:56 631M
Рекомедую почитать Unified kernel image, Unified kernel image specification
Рекомедую включить:
network-console: Continue installation remotely using SSH
Пакет: systemd-ukify в Debian trixie и sid dep: systemd (>= 256.4-3)
В bookworm-backports systemd (254.16-1~bpo12+1)
Лучший вариант для меня:
Загрузка с live-cd. Для примера debian-live-12.6.0-amd64-lxde.iso
Разметка диска. debootstrap, arch-install-scripts или systemd-nspawn
А зачем этот весь геморрой, если в арче при установке все можно сделать не особо напрягаясь? А учитывая что в заключительном комментарии предлагают использовать арчевые скрипты, то смысл статьи теряется чуть больше чем полностью
А как с этим дела у мобильных платформ?
Недавно настаивал свои ключи и secure boot с подписанным systemd-boot и ядрами в Gentoo. Как вы храните ключ которым подписываете новые ядра?
Обидно что secure boot на AMD сломали, см. AMD sinkclose.
Как-то запланировал переезд на новую машину (Lenovo 320-15ISK) и задался целью сделать красиво. Требования были: UEFI + Security Boot + systemd-boot + Debian 12 "Bookworm" + дисковое шифрование + автоматическая расшифровка диска чипом TPM2.0 при загрузке. На выходе хотелось красивую и плавную загрузку ноутбука, как у MS Windows или MacOS. Пришлось изрядно помучаться, но своего добился. Если кто-то захочет повторить похожий путь, то внесу свои 5 копеек:
У sbctl есть не официальные APT репозитории, работающие под Debian.
Чтобы можно было задействовать TPM2.0 для расшифровки диска, есть два пути:
Придется перевести систему с initramfs на dracut, потому что в Ubuntu и Debian почему-то отключена поддержка TMP. Из плюсов: после настройки все просто работает. Из минусов: Debian больше ориентирован на initramfs, некоторые пакеты и приложения могут кидать предупреждения.
Использовать Clevis. Из плюсов: интеграция с initramfs. Из минусов: система дольше грузится, есть ощутимый лаг, пока загружается Clevis; Страдает визуальная составляющая, Clevis вначале кидает форму для ввода пароля, потом задействует TPM2.0.
В dracut потребуется прописать:
# /etc/dracut.conf.d/tpm2-tss.conf
install_items+=" /usr/lib/x86_64-linux-gnu/cryptsetup/libcryptsetup-token-systemd-tpm2.so "
install_optional_items+=" /usr/lib/x86_64-linux-gnu/libtss2* "
add_dracutmodules+=" tpm2-tss "
А так же поставить дополнительные пакеты. Не уверен, что все они нужны, у меня стоят:
libtpm2-pkcs11-1
libtpm2-pkcs11-tools
libtpms0:amd64
libtss2-tcti-swtpm0:amd64
tpm-udev
tpm2-openssl:amd64
tpm2-tools
Для ZFS это не сработает, конечно?
Как сделать безопасную загрузку с полностью зашифрованным диском на Linux без загрузчика на UEFI