Por curiosidad, estoy probando systemd-boot en mi computadora portátil que tiene UEFI con arranque seguro. La instalación predeterminada de GRUB funciona bien.
Para systemd-boot, la mayoría de las búsquedas conducen aesta página. Esto implica instalar systemd-boot con bootctl, crear loader.conf, crear un zz-update-systemd-bootscript postinst del kernel. Todo parece estar bien hasta aquí, aunque no entiendo por qué systemd-boot no tiene un controlador ext4 fs para acceder a los kernels. De todos modos, como era de esperar, esto no arranca debido al arranque seguro.
La sección de inicio seguro de esta página tiene la configuración PreLoader.efi& HashTool.efi. Después de seguir los pasos, el inicio del sistema muestra el menú systemd-boot pero después de elegir Ubuntu aparece este error:
EFI stub: UEFI Secure Boot is enabled.
Hasta donde tengo entendido, PreLoaderes un binario firmado aceptado por UEFI. Esto luego carga el loader.efi(renombrado systemd-bootx64.efi) cuyo hash fue registrado. Esto carga el vmlinuzkernel cuyo hash también fue registrado. Entonces, parece que la cadena segura está bien pero el arranque aún falla. Parece que la firma de Canonical en el kernel no juega un papel aquí.
¿Cómo hacer que esto funcione? ¿He entendido correctamente los aspectos de seguridad?
Respuesta1
Seguí una variación de la página a la que haces referencia, menos las opciones de Arranque seguro.
Desafortunadamente, una vez realizados los cambios, linux-generic, linux-headers-generic y linux-image-generic de Ubuntu insisten en instalar GRUB.además dela instalación de systemd-boot y configure GRUB como la opción de arranque predeterminada en cada actualización adecuada del kernel.
Como resultado, la caja ya no arranca usando systemd-boot en el siguiente reinicio. Entonces, lo que parece necesario es un comando final para ejecutar efibootmgr y restablecer el orden de inicio para usar "ubuntu" nuevamente.
Para evitar esta molestia, creo que los paquetes DEB linux-generic, linux-headers-generic y linux-image-generic de Ubuntu deben configurarse para aceptar GRUBosystemd-boot como cargadores de arranque aceptados, en lugar de instalar GRUB a la fuerza.