Planeswalker
Anmeldungsdatum: 21. April 2009
Beiträge: Zähle...
|
Hallo Ubuntu-Gemeinde, es ist schon einige Zeit her, dass ich hier was geschrieben habe, aber ich habe ein schwieriges Problem und komme einfach nicht weiter. Bin auch nicht sicher, ob das der richtige Thread ist. Wenn ich falsch bin, dann sorry und korrigiert mich. Ich habe mit Hilfe von diesem Artikel erfolgreich eine Live-CD erstellt: https://help.ubuntu.com/community/MakeALiveCD/DVD/BootableFlashFromHarddiskInstall Hat auch alles super funktioniert und war auch voll zufrieden, aber nun habe ich die Anforderung bekommen, dass diese Live-CD mit aktiviertem UEFI Secure Boot bootbar sein muss. Keine meiner erstellen CDs hat funktioniert und auch die offiziellen Live-CDs von (X)Ubuntu konnten erst gebootet werden, als ich Secure Boot deaktiviert hatte. Zu diesem Thema habe ich zwei Ansätze gefunden: den PreLoader der Linux Foundation und Shim vom Fedora Projekt, aber diese beziehen sich nur auf installierte Betriebssysteme und nicht auf Live-CD o.ä.. Auch habe ich keine allgemeinen Anleitungen zu PreLoader und shim gefunden, welche Distributionsunabhängig sind. Kann mir jemand von euch weiterhelfen? Kennt ihr Tutorials hierzu oder hattet ihr ähnliche Probleme? Sind diese Anforderungen momentan überhaupt umsetztbar? Vielen Dank.
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Planeswalker schrieb: Zu diesem Thema habe ich zwei Ansätze gefunden: den PreLoader der Linux Foundation und Shim vom Fedora Projekt, aber diese beziehen sich nur auf installierte Betriebssysteme und nicht auf Live-CD o.ä..
Dann könnte das hier eine Anlaufstelle sein - einfach ist es aber nicht. Und zum selber signieren ist das hier von Interesse → MokManager als Teil von shim. Dazu gibt es ausreichend Literatur - Tante Google ist hilfreich. Der MokManager fällt bei jedem EFI Installieren an (siehe hier) und kann in der vorliegenden Form verwendet werden. .. und auch die offiziellen Live-CDs von (X)Ubuntu konnten erst gebootet werden, als ich Secure Boot deaktiviert hatte.
Das wiederum mag ich nicht glauben - wo hast du das ISO denn gezogen bzw. welche Version ist das? gruß syscon-hh
|
Planeswalker
(Themenstarter)
Anmeldungsdatum: 21. April 2009
Beiträge: 13
|
Hallo syscon-hh, danke für die schnelle Antwort ☺ Leider ist das Importieren von eigenen Keys keine Option, hab ich leider vergessen zu erwähnen. Die Idee dahinter ist, eine CD/DVD bzw. einen USB-Stick zu verteilen, welcher auf jedem PC, auch frisch gekauften Windows 8(.1) Maschinen mit Secure Boot, gestartet werden kann. Das Verändern von UEFI ist (u.a. auch wegen Security Policies) nicht erlaubt bzw. nicht möglich. Ich geh deine Artikel nochmal etwas genauer durch, bisher hab ich in ihnen nur bereits bekannte, allgemeine Informationen über das Prinzip gefunden, aber keine technischen Anleitungen o.ä.. Gruß Planeswalker
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Planeswalker schrieb: Die Idee dahinter ist, eine CD/DVD bzw. einen USB-Stick zu verteilen, welcher auf jedem PC, auch frisch gekauften Windows 8(.1) Maschinen mit Secure Boot, gestartet werden kann.
Wo ist das Problem - einen USB-Stick mit einem installierten 64Bit-System bootfähig zu erstellen (mit Ubuntu, Fedora & SuSe) macht doch keinerlei Schwierigkeiten. Sobald man auf dem USB-Stick - im normalen Ansatz 8 GiB - das System auf die geforderten Bedürfnisse eingestellt hat, kann man diesen auf jedem Rechner mit aktiven secure-boot starten. Siehe dazu → EFI Bootmanagement und die nachgeordneten Artikel. Und die Übertragung auf eine CD/DVD macht solange keine Probleme, solange diese nicht auch noch im BIOS-Modus startfähig sein soll! Also mit dd auf den Datenträger bringen.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Und die Übertragung auf eine CD/DVD macht solange keine Probleme, solange diese nicht auch noch im BIOS-Modus startfähig sein soll! Also mit dd auf den Datenträger bringen.
Das versteh ich jetzt überhaupt nicht. Und dann gleich mal meine Fragen an syscon-hh: Ist ein per dd beschriebener Stick auch EFI-bootfähig? Die DVD sollte es ja sowieso sein. Grüße, Benno
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Benno-007 schrieb: Und die Übertragung auf eine CD/DVD macht solange keine Probleme, solange diese nicht auch noch im BIOS-Modus startfähig sein soll!
Das versteh ich jetzt überhaupt nicht.
Der Themenstarter will ein Medium für ein EFI Bootmanagement erstellen - da bedarf es keines MBR im Startmedium, bzw. dass darf nicht mal sein, damit die EFI-Partition richtig erkannt und ausgewertet wird. Und damit das funktioniert, wird einfach der sichtbare Inhalt vom ISO auf das Medium übertragen! Dazu das ISO entweder mit einer loop-Funktion einbinden oder in Nautilus mit "Einhängen von Laufwerksabbildern" sichtbar machen. Also mit dd auf den Datenträger bringen
Damit ist hier zu verstehen: dd vom fertigen USB-Stick auf die DVD oder auf eine formatierte DVD die sichtbaren Dateien übertragen. Und dann gleich mal meine Fragen an syscon-hh: Ist ein per dd beschriebener Stick auch EFI-bootfähig? Die DVD sollte es ja sowieso sein.
Alle Ubuntu's sind inzwischen Zwitter, die können z.B. mittels UNetbootin o.ä. erstellt werden oder einfach das ISO per dd übertragen werden. Aber das ist ja im WIKI ausführlich beschrieben.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Warum denn der Aufwand für die DVD, wenn doch die normale DVD auch auf EFI bootet/ booten soll oder ist das nicht der Fall? Meine letzte Frage bezieht sich auf EFI, nicht auf Hybrid: Bei Unetbootin sind Nacharbeiten nötig, bei Rufus kann man EFI auswählen oder abwählen. Ein per dd bespielter Stick: Kann der nun auf EFI booten oder nicht? Wenn nein, kann man da auch einen Kniff machen wie bei Unetbootin im Wiki? Das Forum lässt einen dazu seit Monaten im völlig Unklaren und so langsam würde ich gern mal Gewissheit haben wollen. Alle wursteln sich irgendwie durch, aber keiner weiß was genaues oder gibt es nicht preis. Drum frag ich hier, da du es vermutlich (eher) weißt und es hier passt. Selber testen geht erst, wenn es zu spät ist - dann muss es bereits getestet sein. 😉 Grüße, Benno
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Ein mit dd übertragenes ISO auf einen USB-Stick kann
Ein USB-Stick mit UNetbootin kann nachbearbeitet werden - ein USB-Stick, der mit dd erstellt wurde ist immer im
der entspricht ja wegen dem Filesystem (TYPE="iso9660") einer CD/DVD. *) Anmerkung: man muss dann, je nach BIOS ggf. im Grub-Menü über den Editmodus das
entfernen, falls das zu Problemen führt.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Das schafft schon mal viel Klarheit, danke. Vielleicht meldest du dich auch nochmal im gemeinsam abonnierten unendlichen Swap-Thema. 😉 Offen bleibt aber die Irritation, wozu man was dateiweise auf eine DVD kopieren soll - hat das Vorteile zur normalen ISO oder ist das ein Plan B, da manchmal EFI vielleicht auch bei einer normalen DVD (per ISO-Image) streikt? Grüße, Benno
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Benno-007 schrieb: Offen bleibt aber die Irritation, wozu man was dateiweise auf eine DVD kopieren soll - hat das Vorteile zur normalen ISO oder ist das ein Plan B, da manchmal EFI vielleicht auch bei einer normalen DVD (per ISO-Image) streikt?
Siehe die Anfrage vom Beitragsstarter - ich verstehe es ja auch nicht, wer gibt heute noch DVD/CD weiter oder läuft damit rum.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Ok, dann klink ich mich erst mal wieder aus und bedanke mich. Hinweis: Ich benötige DVDs. Zum einen zum Weitergeben, denn USB-Sticks sind dazu noch zu teuer. 😉 Zum anderen fällt ja auch die ganze EFI-Problematik weg - ich muss auch nicht am Stick irgendwas anpassen und vorher nachgucken, ob EFI aktiviert ist - es funktioniert einfach in beiden Fällen - bis auf hier im Thema. Und für Workshops sind die DVDs auch sehr praktisch, zumal sie kaum was kosten und dem Interessenten als Live-System zum zuhause Installieren zur Verfügung stehen als auch als Notfall-System oder Neuinstallations-Medium. Und viele Teilnehmer haben vermutlich sowieso nur einen USB-Stick - den mit ihren paar Daten. Grüße, Benno
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Zurück zur Anfrage: Wir haben das heute Nacht mal durchgespielt und funktioniert 👍 Basis ist eine funktionierende EFI-Installation mit den secure-boot Komponenten
linux-signed-generic grub-efi-amd64-signed shim-signed
siehe auch EFI Nachbearbeitung (Abschnitt „Secure-Boot-nachruesten“) Dazu in der Aufbereitung (Rohfassung) noch Folgendes zusätzlich aufnehmen / ergänzen:
Verzeichnis EFI Verzeichnis EFI/BOOT
und in das Verzeichnis /EFI/BOOT/ dann die beiden Dateien aus einem 64Bit Ubuntu-ISO
kopieren (so wie sie sind!). Danach aus dem 64Bit Ubuntu-ISO die Datei
in das gleich lautende Verzeichnis vom aufbereiteten System kopieren. In der Rohfassung sowohl in der /etc/fstab
als auch im Verzeichnis /boot
entfernen. Ausprobieren ist angesagt - viel Glück! gruß syscon-hh
|
Planeswalker
(Themenstarter)
Anmeldungsdatum: 21. April 2009
Beiträge: 13
|
Hallo Leute, vielen Dank für eure vielen Antworten 😀 @syscon-hh: Ich werd deinen letzten Beitrag gleich mal durchspielen, Danke! Gruß Planeswalker
|
syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
syscon-hh schrieb: Dazu in der Rohfassung noch Folgendes zusätzlich aufnehmen / ergänzen:
Verzeichnis EFI Verzeichnis EFI/BOOT
Um Missverständnisse vorzubeugen - dieses in das Root-Verzeichnis von der CD einbringen! Nachtrag: Hier mal ein Auszug der Abweichungen bei unseren Versuchen:
TU-HH-S327@Ubuntu-GNOME:~$ export WORK=~/work
TU-HH-S327@Ubuntu-GNOME:~$ export CD=~/cd
TU-HH-S327@Ubuntu-GNOME:~$ export FORMAT=squashfs
TU-HH-S327@Ubuntu-GNOME:~$ export FS_DIR=casper
TU-HH-S327@Ubuntu-GNOME:~$ sudo mkdir -p ${CD}/{${FS_DIR},boot/grub,EFI/Boot} ${WORK}/rootfs
TU-HH-S327@Ubuntu-GNOME:~$ sudo cp -f ~/Vorlagen/BOOTx64.EFI ~/cd/EFI/Boot/
TU-HH-S327@Ubuntu-GNOME:~$ sudo cp -f ~/Vorlagen/grubx64.efi ~/cd/EFI/Boot/
TU-HH-S327@Ubuntu-GNOME:~$ sudo cp -vp ${WORK}/rootfs/boot/vmlinuz-${kversion}.efi.signed ${CD}/${FS_DIR}/vmlinuz.efi
menuentry "Ubuntu GUI" {
linux /casper/vmlinuz.efi boot=casper quiet splash
initrd /casper/initrd.img
}
|
Planeswalker
(Themenstarter)
Anmeldungsdatum: 21. April 2009
Beiträge: 13
|
Hallo syscon-hh, ich bin heute deine Punkte durchgegangen, allerdings funktioniert's bei mir nicht. Auch sind in meinem Aufbau ein paar Dinge anders als bei dir (oder der Anleitung) beschrieben. Als Basis habe ich ein Xubuntu 14.10 benutzt, welche ich in einer VMware VM mit EFI-Firmware installiert habe (separate UEFI-Boot-Partition). Nach der Installation waren die Pakete linux-signed-generic, grub-efi-amd64-signed und shim-signed bereits installiert, weshalb ich diesen Punkt übersprungen habe. Auch habe ich nicht wie in der Anleitung beschrieben grub2 installiert, weil er dabei grub-efi-amd64-signed deinstallieren will. Danach habe ich auf der CD die Verzeichnisse /EFI/BOOT angelegt und die Dateien BOOTx64.EFI und grubx64.efi von der Xubuntu 64-bit-DVD dort abgelegt. Auch habe ich efi.img auf der CD in das Verzeichnis boot/grub/ abgelegt, beim erstellen des Grub-Rescue-Images kam aber die Warnung, das er efi.img nicht in / finden kann. Also hab ich die Datei nochmal in den Root der CD kopiert, danach konnte ich das Rescue-Image erstellen. Folgendes war noch anders bei mir: fstab im Abbild des Dateisystems (rootfs) musste ich nicht anpassen, da die Datei als Ausnahme im Rsync definiert und dementsprechend nicht synchronisiert wurde Die Variable "kversion" wird bei mir als "3.16.0-28-generic.efi.signed" aufgelöst, weshalb ich die Kopierbefehle etwas anpassen musste ich musste für die Anpassung des rootfs-Verzeichnisses in der chroot-Umgebung vorher folgenden Bind-Mount setzen: mount --bind /run/ ${WORK}/rootfs/run/. Dies wird benötigt, in den neusten (X)ubuntu-Versionen /run ein tmpfs ist und z.B. die resolv.conf ein Symlink nach /run/...... ist. Daher hab ich die resolv.conf auch nicht gelöscht. Den grub.conf-Eintrag habe ich gemäß deines zweiten Posts angepasst.
Beim Starten der gebrannten DVD mit und ohne Secure Boot unter nativ UEFI wird diese nicht gestartet. Wenn ich ins Boot-Menu gehe sehe ich die CD nicht als Option (ist im UEFI aktiviert), wenn ich aber "Boot From EFI File" benutze kann ich die CD auswählen und dann in das Verzeichnis /efi/boot/ wechseln, dort kann ich die Dateien bootx64.efi und grubx64.efi sehen. Wenn ich aber eine der beiden Dateien auswähle komm ich auf die Grub-Konsole und wenn ich auf (cd0) wechseln will kommt der Fehler "error: unknown filesystem". Weißt du oder jemand anderes da weiter, sitzt schon wieder den ganzen Tag dran 🙄 Vielen Dank an alle für die Arbeit, die ihr euch bisher gemacht habt. Gruß Planeswalker
|