Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win 8

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win 8

Beitrag von NAB » 19.02.2013 01:41:11

Mit diesen Themen scheint es eine ganze Menge Missverständnisse zu geben, darum hier einige klärende Worte dazu:

1) Was ist was?

EFI soll mal der Ersatz für das gute alte BIOS werden. Somit ist EFI eigentlich kein BIOS, sondern dessen Nachfolger, trotzdem rede ich mitunter gerne und technisch falsch vom "EFI-BIOS".

Eigentlich müsste sich damit gar nicht soviel ändern, denn EFI stellt lediglich mehr Flexibilität zur Verfügung. Dass es trotzdem soviele Probleme damit gibt, liegt häufig an den grottenschlechten und fehlerhaften Implementierungen der Hersteller und an der Ahnungslosigkeit der Anwender. BIOS-Bugs haben mich unter Linux schon oft geärgert, und es sieht nicht so aus, als würde das durch EFI besser werden. Der beste Punkt zum Ansetzen ist somit die Ahnungsloigkeit ... darum existiert dieser Text.

Die Fehler in EFIs sind trotzdem nicht zu unterschätzen ... Samsung hat gerade ein Glanzstück der Unfähigkeit vollbracht und massenweise Notebooks rausgebracht, die sich von einer simplen Linux-Installation völlig außer Gefecht setzen lassen. Was dann erst wirklich bösartige Software auszurichten vermag, werden wir bestimmt in den nächsten Monaten in der Presse lesen.

Die GPT (oder länger "GUID-PT" oder noch länger "Globally Unique Identifier Partition Table") hat eigentlich gar nichts mit EFI zu tun, außer dass EFI sie verstehen können muss. Beides wird aber gerne in einem Atemzug genannt. Die GTP enthält eine Liste der Partitionen auf der Festplatte und erfüllt damit genau denselben Zweck wie der gute alte MBR. Allerdings erlaubt die GPT bis zu 128 Partitionen und Partitionsgrößen über 2TB, im Gegensatz zu den 4 Partitionen (mit Tricks 8 ) des MBR. Also ist auch das eigentlich eine gute Sache.

EFI (das Extensible Firmware Interface) ist, wie der Name schon sagt, durch Module erweiterbar. Eins dieser Module ist Secure Boot. Secure Boot ermöglicht es, eine digitale Signatur des Bootloaders im BIOS abzulegen und schreibt vor (das ist der wichtige Teil!) dass diese Signatur sich nach dem Anstoßen des Bootvorgangs nicht mehr ändern lässt. Ist Secure Boot eingeschaltet, prüft es den Bootloader anhand der Signatur auf Veränderungen und warnt, wenn der Bootloader kompromitiert worden ist. Auch das ist eine gute Sache ... mit einigen Folgesignaturen lässt sich die Integrität des Systems vom Bootloader über den Kernel, die Treiber bis zu wichtigen Systemprogrammen sicherstellen. Per Spezifikation ist Secure Boot denkbar harmlos ... es muss sich ausschalten lassen und über die EFI-Shell müssen sich auch die Signaturen eigener Bootloader hinterlegen lassen. Edit: Da der Debian-Installer von Wheezy zumindest in der aktuellen Version 7.1 bisher nicht mit Secure Boot umgehen kann, muss man es für eine erfolgreiche Installation ausschalten /Edit

Ein weiteres Modul von EFI ist das BIOS-Kompatibilitätsmodul. Ein reines EFI kann per Spezifikation nur mit GPT-Partitionen umgehen und startet einen Bootloader, der in einer FAT-Partition als Datei hinterlegt ist. Um auch von MBR-Partitionen booten zu können, wird das BIOS-Kompatibilitätsmodul gestartet und erledigt das, was man von einem BIOS ja eigentlich erwartet ... booten.

Bis jetzt wird jedes Desktop-Mainboard mit EFI mit so einem BIOS-Kompatibilitätsmodul ausgeliefert, sie funktionieren auch immer, aber ob es ein- oder ausgeschaltet ist und wie es bezeichnet wird, unterscheidet sich von Hersteller zu Hersteller. Auch bei den meisten Notebooks ist es vorhanden, es gibt allerdings Gerüchte über die ersten Win8-Notebooks ohne BIOS-Kompatibilität ... logisch, das spart den Herstellern Arbeit.

Das Video-Modul:
Es zwingt die Hersteller zwar niemand, ein bestimmtes Design einzuhalten, trotzdem sahen sich bisherige BIOSe allesamt recht ähnlich. Damit ist seit EFI Schluss. EFI bringt ein Video-Modul mit, welches höhere Auflösungen und anspruchsvollere grafische Oberflächen erlaubt (gerüchteweise sogar 3D-Unterstützung). Somit liegt das Aussehen und die Bedienbarkeit eines EFI jetzt in den Händen von Technikern, die noch nie im Leben eine grafische Benutzeroberfläche konstruiert haben ... und genau so sehen sie auch aus. Ein wenig Entdeckergeist und Experimentierfreude ist angesagt, und mit etwas Glück ähnelt die im Handbuch beschriebene EFI-Version sogar noch der auf dem Board.

2) Der Bootprozess
Ein EFI-Mainboard kann ja, wie gerade erklärt, entweder im EFI-Modus oder im BIOS-Modus booten. Somit macht es Sinn, trotz EFI-Board zwischen BIOS-Boot und EFI-Boot zu unterscheiden. Der EFI-Boot bietet einige Vorteile - er geht schneller und der EFI-Bootloader lässt sich mit einem sprechenden Namen in die EFI-Firmware eintragen. So kann man dann "Debian" booten statt von "SATA 1". EFI hat somit die Möglichkeit, in einer Multiboot-Installation das Auswahlmenü von Grub zu ersetzen. Wenn mehrere EFI-Bootloader in die Firmware eingetragen sind, könnte eine nette Liste mit "Debian", "Debian Testing" und "Ubuntu" auftauchen. Die Betonung liegt auf "könnte" ... nicht jeder Hersteller kriegt sowas hin oder denkt überhaupt daran.

a) EFI-Boot
Hierfür ist eine GPT-Partitionierung zwingende Voraussetzung. Das EFI sucht in der GPT eine FAT-Partition (ja, das gute alte Microssoft FAT) und in dieser FAT-Partition das Verzeichnis "EFI/boot" und in diesem Verzeichnis die Datei "bootx64.efi". Ja, das ist alles ... eine FAT Partition mit dem Bootloader unter "/EFI/boot/bootx64.efi" und die Kiste bootet. Klingt doch schön einfach, oder?

Das EFI dafür eine eigene Partition verschwendet, ist auch nicht tragisch ... wir haben ja noch 127 in Reserve.

Falls das EFI eine EFI-Shell anbietet (mein Mainboard tut das nicht), kann man mit kryptischen Tastaturbefehlen auch andere Dateien aus dem EFI-Verzeichnis in die Firmware als Bootloader eintragen.

b) BIOS-Boot von GPT
Die GPT enthält als ersten Sektor noch immer einen MBR. Im MBR steht ein winziger Bootloader und die Partitionstabelle ... eh ... nein ... die Partitionstabelle steht jetzt ja am Anfang der GPT. Der MBR der GTP enthält trotzdem noch eine Partitionstabelle ... diese enthält genau eine einzige Partition, die den gesamten Rest aller GPT-Partitionen einschließt. Das dient zum Schutz der GTP, dementsprechend heißt dieser MBR in der GPT auch "protective MBR". Aber egal ... was uns ja interessiert ist das Booten ... und das geht wie bisher auch ... der MBR wird gelesen, der Bootloader ausgeführt und lädt im Fall von Grub hoffentlich die Stage 2 und alles läuft wie gewohnt weiter.

c) BIOS-Boot vom MBR
Auch das ist mit EFI im BIOS-Kompatibilitätsmodus problemlos möglich. Ob MBR oder GTP, das hat ja nicht das EFI zu entscheiden, sondern euer Partitionierungsprogramm. Und das geht wie gewohnt ... der MBR wird gestartet, denn Grub ... alles beim Alten.

Was mache ich da eigentlich?
--------------------------------------------
Tja, das klingt zwar alles sehr einfach, aber das EFI macht es einem mitunter nicht leicht. Meins versucht zum Beispiel unheimlich schlau zu sein und zeigt mir die Festplatten allesamt mit Hersteller und Produktbezeichnung an. Nicht sehr hilfreich, wenn man vier mal die gleiche Platte im System hat. Wenigstens schreibt es ein "P0", "P1" u.s.w. davor, damit man sie auseinanderhalten kann. Was das "P" bei einem "S"ATA-Anschluss soll, weiß ich nicht. Das macht es übrigens nur, wenn es keinen EFI-Bootloader auf einer GPT-Platte findet. Damit will es mir also sagen, dass es einen BIOS-Boot durchführt. Findet es auf der Platte noch einen EFI-Bootloader, so habe ich die Platte zwei mal in der Liste ... einmal mit einem "P" davor und einmal mit einem "UEFI" davor ... ich kann sie also wahlweise im BIOS- oder im UEFI-Modus booten. Das ist praktisch zum Ausprobieren. Aber freut euch nicht zu früh ... das kann bei eurem EFI ganz anders aussehen.

Seltsamer Weise geht das bei mir nur, wenn die Platte (oder das DVD-Laufwerk) an einem der vier Intel-SATA-Anschlüsse hängt. Hängt sie am zusätzlichen Onboard-Controller, so kriegt das Mainboard keinen UEFI-Boot hin. Ihr seht also ... der Teufel steckt im Detail ... beziehungsweise in der Unfähigkeit der Mainboardhersteller.

Zwischen einem BIOS-Boot per MBR oder per GPT unterscheidet das EFI nicht ... warum sollte es auch.

3) Debian
Eins vorweg ... ich möchte es nicht beschwören, aber ich vermute, keine 32-Bit-Version macht ein EFI-Boot. Mit 32 Bit bleibt euch also nur der BIOS-Boot.

a) Squeeze
Squeeze hat noch nie von EFI gehört und wird es auch nie tun. Es kann allerdings mit einer GTP umgehen. Somit wird ein Squeeze-Upgrade auch nie ein EFI-Boot machen. Eigentlich kann einem das ja egal sein, wenn Squeeze eh schon auf der Kiste läuft, dann läuft es ja, und auch ein Upgrade auf Wheezy wird laufen, das benutzt ja einfach den alten Bootprozess weiter.

Es gibt allerdings eine Besonderheit für diejenigen, die auf einer GPT installiert haben. Grub wird aktualisiert und bringt eine Neuerung mit: Da eine GPT einem reichlich Partitionen ermöglicht, möchte Grub gerne eine für seine Stage 2 verschwenden. Diese Partition sollte 1024 KB groß sein (also winzig) und trägt die Partitionskennung "EF02". gdisk nennt sowas "Bios Boot-Partition", gparted nennt es "bios_grub". Diese Partition wird allerdings nicht automatisch angelegt, grub meckert beim Update nur, dass sie fehlt. Solang man keinen guten Grund hat, sollte man aber einfach alles so lassen, wie es ist. Debian bootet auch ohne diese Partition und das Gemecker von grub muss man halt ignorieren. Wer an den Partitionen rumschraubt riskiert, dass das System nachher nicht mehr bootbar ist, weil der MBR-Loader die Stage 2 nicht mehr findet. Dagegen hilft natürlich ein update-grub ... je nach eurem Geschick eventuell von einer Live-DVD per chroot.

b) Wheezy
Ich muss gestehen, ich habe keine Ahnung, in welchem Zustand der Installer von Wheezy gerade ist. Bei meinem Versuch habe ich es zumindest nicht hinbekommen, den Beta4-Installer im EFI-Modus zu booten, was wohl die Voraussetzung für eine Installation mit EFI-Boot ist. Das mag an meinem Mainboard gelegen haben ... Bugs kann man ja nie so ganz ausschließen *hüstel*. Die Windows 8 DVD ließ sich zumindest im EFI-Modus booten.

Erklärtes Ziel von Wheezy ist es zumindest, eine Installations-DVD mit EFI-Unterstützung herauszubringen. Diese sollte sich dann auch per EFI-Boot (bei mir steht dann "UEFI" vor dem DVD-Laufwerksseintrag im Bootmenü) starten lassen. Ich kann nur jedem, der eine Neuinstallation machen möchte raten, sich das aktuelle Daily Build zu ziehen und es damit zu versuchen.

Das bedeutet nicht, dass ich Wheezy nicht installieren konnte. Nein, das ging prima. Der Installer hat halt nur im BIOS-Modus gebootet.

Das wäre auch nicht weiter tragisch gewesen, wenn ich mir nachher etwas hätte aussuchen können ... konnte ich aber nicht. Vielleicht lag es an meiner Blödheit, vielleicht am unfertigen Installer, aber mir war weder klar, ob er jetzt GPT- oder MBR-Partitionen anlegt und ob er jetzt ein EFI- oder ein BIOS-Boot installiert. Letztendlich hat er MBR-Partitionen angelegt und nachher im BIOS-Modus gebootet.

Fakt ist - es ging! Ich habe nichts zu meckern, die Installation lief glatt durch, keine Probleme, und das Booten lief auch einwandfrei.

Ich wollte nur gerne GPT und EFI-Boot haben.

Somit hab ich die Parted-Magic-CD gezückt und mir erst mal selber eine GPT-Partitionierung auf die Platte geschrieben. Danach hab ich mich an diese Anleitung gehalten:
http://forums.debian.net/viewtopic.php?f=16&t=81120
Und das hat auch funktioniert.

Da steht übrigens, dass der aktuelle Wheezy-Installer auf einer leeren Platte zu einer GPT neigt. Nun war meine Platte nicht leer, sondern mit Zufallszahlen vollgeschrieben ... vielleicht war sie dem Installer nicht leer genug und er hat deswegen MBR gewählt. Das zeigt schon das Problem ... der Installer versucht zu erraten, was der Benutzer möchte ... eine GPT oder MBR, EFI oder BIOS. Startet man die Installer-DVD im BIOS-Modus, so geht er sinnvoller Weise von einem BIOS-System aus und installiert einen BIOS-Boot. Startet man per EFI-Boot, so installiert er auch EFI-Boot. Eigentlich ganz einfach ... wenn es nicht manchmal schon Schwierigkeiten machen würde zu erkennen, in welchem Modus man gerade bootet. Wer sicher gehen will, sorgt vorher mit gparted für die richtige Partitionstabelle und beschäftigt sich mit seinem EFI, wem es egal ist, der kriegt trotzdem ein bootbares System.

Langer Rede kurzer Sinn: ja, man kann Wheezy auf EFI installieren. Bei der großen Mehrheit der Systeme mit BIOS-Kompatibilitätsmodus geht es problemlos, und bei den wenigen reinen EFI-Systemen wird es auch gehen, spätestens wenn Wheezy fertig ist. Falls nicht, habt ihr einen handfesten Bug gefunden.

Ich mag keinen Rat geben, ob man nun auf EFI-Boot, GPT mit BIOS-Boot oder den guten alten MBR setzt, zu unterschiedlich sind die Anwendungsfälle. Wer auf EFI setzt, der hat keine Möglichkeit, diese Platte mal auf einem alten BIOS-Rechner zu starten, und wer MBR wählt, der verschenkt vielleicht tolle komfortable Möglichkeiten seines Mainboards ... falls die denn funktionieren. Letztendlich ist es egal ... Hauptsache, die Kiste bootet, und das tut sie so gut wie immer.

Ich rate jedoch, wenn man sich für GPT entscheidet, am Anfang der Festplatte zuerst eine FAT-Partition mit 250 MB Größe für den EFI-Bootloader unterzubringen (mit gdisk muss die den Partitionstyp "EF00" oder "EFI System" tragen, bei gparted wird schlicht das "boot"-Flag gesetzt). Und dahinter eine 1024 KB Partition für Grub, wie unter "Squeeze" beschrieben. Wenn ihr beide habt, könnt ihr später ohne viel Ärger zwischen EFI-Boot und BIOS-Boot hin- und herspringen. Aber um mich noch mal zu wiederholen: nötig ist das nicht - der Debian-Installer wird euch schon ein bootbares System auf den Rechner zaubern, aber da man mitunter nicht erkennen kann, ob man ein BIOS- oder ein EFI-System installiert, kann man wenigstens nachträglich noch wechseln, wenn beide Partitionen vorhanden sind.

Edit: Auch wenn die Reihenfolge der Partitionen eigentlich egal sein sollte, und das EFI die "EFI System"-Partition überall auf der Festplatte erkennen können sollte, so gibt es doch auch hier leider fehlerhafte Implementierungen, und es ist sicherer, die FAT-Partition als erste und an erster Stelle auf der Festplatte zu erzeugen. /Edit

Tipp: MBR zeichnet sich dadurch aus, das sich nicht mehr als 4 primäre Partitionen anlegen lassen. Wer im Installer testen will, ob er gerade mit MBR oder GTP partitioniert, der kann einfach mal testweise ne 5te primäre Partition anzulegen versuchen. Man kann sie ja gleich wieder löschen.

4) Tools
a) Partitionierung
Das gute alte fdisk kann nicht mit GPT umgehen - es zeigt nur die große Protected MBR Partition an. Immerhin könnt ihr so auch nichts kaputt machen, aber es hilft euch auch nicht weiter. Es gibt wohl etliche Partitionierungs-Programme, die mit einer GPT umgehen können ... hier seien nur "gparted" (mit GUI) und gdisk (Kommandozeile) genannt.

b) grub
Ihr hasst grub? Dann freut euch ... es gibt jetzt sogar zwei davon! "grub-pc" und "grub-efi".
Beide schließen einander aus.
Die "pc"-Version installiert einen gewöhnlichen Boot über den MBR.
Die "efi"-Version installiert einen EFI-Bootloader in der FAT-Partition. Hierbei wird die FAT-Partition unter /boot/efi gemounted, so dass der EFI-Bootloader von Debian aus gesehen im Verzeichnis /boot/efi/EFI/boot/ zu liegen kommt. Debian bewahrt seine eigenen Bootloader im Verzeichnis /boot/efi/EFI/debian auf, so dass man sie auch direkt von da in die Firmware eintragen könnte ... wenn man denn kann.

Theoretisch sollte man, solange die beiden oben erwähnten Partitionen angelegt sind, leicht zwischen den beiden Versionen wecheln können, schlicht durch Installation der anderen Version. Ob das geht, habe ich nicht ausprobiert, aber es könnte etwas Handarbeit nötig sein. Zumindest die Existenz der oben erwähnten Verzeichnisse sollte man überprüfen, eventuell muss man sich auch per Hand ums Mounten kümmern.

Nach dem Wechsel von grub-pc zu grub-efi konnte ich im EFI-Modus booten, jedoch nicht mehr im BIOS-Modus. Ein "Hybridsystem" scheint also nicht möglich. Zumindest nicht ohne Handarbeit.

grub-efi unterstützt übrigens kein Chainloading von MBR-Partitionen oder MBR-Bootblöcken. Dazu ist ein BIOS notwendig, und wenn man UEFI-Boot macht, existiert das BIOS während des Bootprozesses schlicht nicht mehr. Das macht Probleme in Multiboot-Umgebungen, diese sollten also vorher geplant werden.

Mitunter sieht man das Grub-Auswahlmenü beim EFI-Boot nicht. Das liegt daran, dass EFI die oben erwähnten Video-Module hat, und davon gibt es mindestens zwei verschiedene. Booten geht trotzdem, und wenn ihr betroffen seid, fehlt euch das zweite Modul. Das lässt sich leicht beheben, indem ihr in die Datei /etc/default/grub folgende Zeile eintragt:

Code: Alles auswählen

GRUB_PRELOAD_MODULES="efi_gop"
c) Es gibt noch weitere kleine Tools zum Umgang mit EFI ... da ich mich damit nicht sonderlich auskenne, seien sie hier nur stichwortartig erwähnt:
* efibootmgr lässt einen von Linux aus das EFI konfigurieren, insbesondere kann man eigene Booteinträge
ins NVRAM des Mainboards schreiben. Die Ubuntu-Anleitung ist da sehr aufschlussreich:
http://wiki.ubuntuusers.de/efibootmgr
* Super Grub2 Disk - EFI x86_64 standalone version
http://www.supergrubdisk.org/category/d ... sk-stable/
Dies ist ein EFI-Binary, lässt sich also vom Mainboard direkt ausführen, wenn man es entweder als EFI-Loader auf der Festpatte oder dem USB-Stick hinterlegt, oder es per EFI-Shell direkt ausführt. Damit lassen sich zickige EFI-Systeme starten, auch wenn der eigene Bootloader mal streikt.
* Oben erwähnte EFI-Shells gibt es auch als EFI-Binary zum Selberbooten (nicht getestet):
https://wiki.archlinux.org/index.php/UEFI#UEFI_Shell
* Da der eigentliche EFI-Bootprozess herrlich einfach ist und nur ein EFI-Binary auf der FAT-Partition voraussetzt, gibt es auch zahlreiche andere EFI-Bootloader für Linux, z.B. rEFInd, bis hin zu Plänen, den gesamten Linux-Kernel als EFI-Binary zu gestalten.

5) Secure Boot unter Debian
In einem korrekten EFI-BIOS sollte sich Secure Boot ausschalten lassen, es macht also absolut keine Probleme bei der Installation.

Mit eingeschaltetem Secure Boot hat man allerdings große Probleme, es wird von Debian noch nicht unterstützt. Die Arbeit daran läuft zwar auf Hochtouren, aber da Secute Boot erst Ende 2012 auf Druck von Microsoft in den Markt geschoben wurde, wird das noch einige Zeit dauern.

Schlimm ist das nicht ... die Entwicklung von Secure-Boot-Unterstützung für Linux steckt noch in den Kinderschuhen und bietet somit auch keinen großen Schutz. Außerdem ist eh davon auszugehen, dass die aktuellen EFI-Implementierungen fehlerhaft sind und sich irgendwie aushebeln lassen.

Edit: Bitte das Posting von Mecki unten beachten, der erklärt, wie man Debian auch mit Secure Boot zum Laufen kriegt, indem man sich mit dem Ubuntu-Bootloader behilft. /Edit

Es gibt Gerüchte, dass es Laptops mit vorinstalliertem Windows 8 geben soll, auf denen sich Secure Boot nicht ausschalten lässt. Also unbedingt vorher schlau machen! Windows 8 läuft auch ohne Secure Boot, es gibt also keinen Gund, diese Option nicht-ausschaltbar einzubauen, außer der Geldgier der Hersteller. Erstens spart man so Geld an den Entwicklungskosten, und zweitens am Support, denn je weniger der Kunde am Gerät rumspielen kann, desto weniger kann er kaputt machen.

6) Windows 8
Tja ... hier fangen die Probleme an ...

Schon ein vorinstalliertes Windows 8 kann Probleme machen, denn mit aktiviertem Fast Boot geht der Bootvorgang so schnell, dass man nicht mal mehr ins EFI kommt, um Secure Boot auszuschalten. Also muss man erst mal Fast Boot ausschalten, dann kommt man auch ins EFI.

Danach sollte man sich überlegen, ob man die GPT auf der Festplatte lassen will, oder doch lieber MBR haben will, und das gegebenenfalls mit einem Partitionseditor ändern. Danach gibt es keine weiteren Probleme mehr ... einfach Debian drauf wie oben beschrieben und fertig.

7) Dualboot mit Windows 8
Das ist auch nicht so schwer. Der Königsweg ist nach wie vor, sich erst eine Partitionierung zu überlegen, dann Windows 8 zu installieren, und danach Debian. Das geht auch locker und flockig von der Hand, Grub erkennt Win8 und es erscheint im Grub-Menü.

Probleme kriegt man, wenn man einen Rechner mit billigem OEM-Win8 erworben hat ... Microsoft verkauft das nicht ohne Grund so billig. Es liegt kein Installationsmedium bei, das könnt ihr euch erst mal selber machen, es gibt auch keinen Aufkleber mit dem Product-Key mehr, der steckt jetzt im BIOS, und wenn man sich das Leben richtig schwer machen will, dann verzichtet man auf die Neuinstallation und versucht mit irgendwelchen Tools, die Windows-Partition zusammenzuschieben. Dabei sollte man Fast Boot unbedingt ausschalten, ebenso wenn man von Linux aus auf die Windows-Partition zugreifen will.

Aufgrund dieser Probleme sollte man den Verkäufer fragen, ob man nicht gegen Aufpreis die normale Version von Windows 8 (ohne OEM) bekommen kann ... die hat nämlich wenigstens einen Product Key und lässt sich somit auch auf VirtualBox oder einem anderen Rechner installieren oder gar verkaufen. Und es liegt ne DVD bei ... das ist auch immer praktisch, schon um Windows mal zu retten, Fast Boot sorgt nämlich auch dafür, dass man nicht mehr ins Windows-Bootmenü kommt, um den Abgesicherten Modus zu starten, den man mitunter braucht, um Fast Boot zu deaktivieren.

8 ) Gerüchte über Secure Boot und Microsoft
Secure Boot ist, wie oben beschrieben, eine gute Sache ... wenn man es braucht. Installiert man öfter neue Systeme und ist generell eher der "Bastler" so kommt es einem schnell in die Quere. Macht aber nix ... es lässt sich ja ausschalten.

Erfunden hat es Intel, und Microsoft hatte großes Interesse ... kann ich verstehen, deren Betriebssystem ist ja das Angriffsziel Nummer eins. Und Microsoft hat beschlossen, es zügig in den Markt zu drücken ... kann ich auch verstehen. Nun ist es bei der Zertifizierung der digitalen Signaturen so, dass irgendjemand sie zertifizieren muss ... da hat sich natürlich gleich Microsoft angeboten. Somit tragen jetzt alle Secure-Boot-Module ein Stammzertifikat von Microsoft in sich ... was sollten die Mainboard-Hersteller auch machen, ein anderes haben sie ja nicht bekommen.

Somit kann Microsoft jetzt angefangen vom Bootloader bis hin zum letzten Treiber alles als unbedenklich absegnen, was unter Windows 8 läuft, und Secure Boot prüft das. Ob das nun Sinn macht, sei mal dahingestellt ... Microsoft bastelt ja selber genug Sicherheitslücken in sein System, und die werden nicht sicherer, wenn Microsoft sie absegnet. Aber der Ansatz ist trotzdem nicht verkehrt - Secure Boot soll ja die Unkompromitiertheit des eigenen Systems sicherstellen ... inklusive aller Sicherheitslücken.

Die Linux-Szene hat das komplett überrollt ... Secure Boot ist inzwischen fertig und wird massenweise ausgeliefert und die Linux-Loader dafür stecken noch in den Kinderschuhen. Zusätzlich gab es natürlich reichlich misstrausche Kritik an der Microsoft-Signatur. Allerdings ist Microsoft da durchaus kooperativ und hat sich bereit erklärt, auch fremde Bootloader zu signieren. Das ist fein, so muss man nicht jeden Mainboardhersteller dazu bringen, auch noch andere Signaturen einzubauen. Das ist also alles gar nicht so dramatisch.

Kritik gibt es allerdings daran, dass ein Secure-Boot-Linux noch nicht fertig ist, und der Windows-Benutzer vorläufig dazu gezwungen ist, ein Sicherheitsfeature auszuschalten, damit er Linux installieren kann. Gut, das sehe ich ein ... aber ich weiß nicht recht, wieso man da die Schuld bei Microsoft sucht.

Tatsache ist - Microsoft fordert, dass es bei vorinstalliertem Windows 8 eingeschaltet ist (verstehe ich auch) und es lässt sich in einem korrekten EFI ausschalten. Microsoft fordert keineswegs, dass es nicht ausgeschaltet werden kann oder darf. Es wird also niemand von Linux abgehalten.

Völlig anders sieht die Sache bei Windows on ARM aus - auch als Windows RT bekannt. Hier fordert Microsoft in der Tat, dass Secure Boot bei vorinstalliertem Windows eingeschaltet ist und sich entgegen der Spezifikation nicht ausschalten lässt. Das finde ich durchaus bedenklich, ebenso wie die vernagelten Iphones, und Samung macht es einem auch nicht leicht, das Linux auf deren Produkten auszutauschen. Angesichts der Tatsache, dass Microsoft bei der Bootloader-Signierung kooperativ ist, könnten Microsoft-Geräte zukünftig zu den wenigen ARM-Geräten gehören, die ein freiwählbares Linux on ARM problemlos unterstützen ... das ist denkwürdig.

Edit: Ein Problem habe ich euch in diesem Text komplett verschwiegen: Die 32- und 64-Bit Problematik. Früher dachte ich, EFI sei eine reine 64-Bit-Geschichte. Seit ein paar Monaten tauchen aber zunehmend Intel-Tabletts und billig-Notebooks mit einem 32-Bit-UEFI auf, die durchaus 64-Bit-fähige Hardware enthalten. Der Sinn und Zweck dieser Entwicklung bleibt mir verborgen - vermutlich geht es darum, eine bestimmte Windows-Version auf diesen Geräten zu erzwingen. Damit gibt es zwei große Probleme unter Linux:
1) Die bisherigen Linux-Bootloader sind nur auf 64-Bit-EFIs ausgerichtet.
2) Der damit startbare 64-Bit-Kernel läuft nicht auf einem 32-Bit-EFI.
An beidem wird gearbeitet, seit Kernel 3.15 läuft ein 64-Bit-Linux auch auf einem 32-Bit-EFI, für Wheezy kommt das natürlich viel zu spät, selbst für Jessie könnte eine vollständige Unterstützung eng werden, aber Ubuntu scheint gut davor zu sein. Da ich entsprechende Hardware nicht besitze und der gesamte Bereich im Moment eine große Baustelle ist, möchte ich es bei diesem Hinweis belassen. /Edit
Zuletzt geändert von NAB am 24.09.2014 21:21:32, insgesamt 5-mal geändert.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von NAB » 19.02.2013 01:43:08

Ja, ich weiß ... der Text sollte wohl ins Wiki. Erst mal bin ich jetzt müde, ich les morgen noch mal drüber, ansonsten freue ich mich über Kommentare und Ergänzungen.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
orcape
Beiträge: 1525
Registriert: 07.11.2008 18:37:24
Wohnort: 50°36'23.99"N / 12°10'20.66"E

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von orcape » 19.02.2013 07:43:35

Hi NAB,
Nachtschicht eingelegt.... :mrgreen:
Danke für den sehr umfangreichen und informativen Thread.
Ich hätte mir gewünscht diesen bereits vor den Weihnachtsfeiertagen zur Verfügung zu haben.
Da musste ich Erfahrungen mit einem ASUS A75 mit EFI-Bios und vorinstallierten Windows8 machen.
b) Wheezy
Ich muss gestehen, ich habe keine Ahnung, in welchem Zustand der Installer von Wheezy gerade ist. Bei meinem Versuch habe ich es zumindest nicht hinbekommen, den Beta4-Installer im EFI-Modus zu booten, was wohl die Voraussetzung für eine Installation mit EFI-Boot ist.
...das konnte ich allerdings nicht bestätigen.
Sowohl die Wheezy Beta4-Netinstall, die den GRUB2-EFI mitbringt, hat problemlos funktioniert,
wie auch folgende Variante aus dem Thinkpadforum....
http://thinkpad-forum.de/threads/123262 ... boot-HowTo
Von Vorteil war hier wohl das vorinstallierte Windows8, welches die GPT-Partitionierung schon mitgebracht hat und als Dank dafür jetzt als " totes Kapital " sinnlos auf der Festplatte verstaubt.
Abschalten musste ich nur das " secure Boot "....
Gruß orcape

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von NAB » 19.02.2013 14:51:39

orcape hat geschrieben:Nachtschicht eingelegt.... :mrgreen:
Nö ... ruhige Nachtschicht gehabt ^^
Ich bin dann doch noch mal durch den Text gegangen und hab noch ne Passage zu Secure Boot angefügt ... keine Ahnung, ob die da reinpasst.
orcape hat geschrieben:Ich hätte mir gewünscht diesen bereits vor den Weihnachtsfeiertagen zur Verfügung zu haben.
Ich auch! Scheint, wir haben uns die Weihnachtstage auf ähnliche Weise vergnügt ^^
orcape hat geschrieben:...das konnte ich allerdings nicht bestätigen.
Sowohl die Wheezy Beta4-Netinstall, die den GRUB2-EFI mitbringt, hat problemlos funktioniert,
Völlig richtig ... eigentlich sollte die Beta4 einen EFI-Boot hinkriegen ... tat sie bei mir aber nicht. Andererseits war da auch noch ein Bug über EFI-Install offen, der Ende Januar geschlossen wurde. Und soweit ich das verstanden habe, fließen Bugfixes nicht in den Beta-Installer zurück, nur in die Daily Builds.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von KP97 » 19.02.2013 15:47:43

Ein ganz ausgezeichneter Beitrag, sehr vielen Dank dafür.
Das nimmt einem ja ein wenig das mulmige Gefühl, wenn ein neues Mainboard anstehen sollte.

niesommer
Beiträge: 2493
Registriert: 01.10.2006 13:19:37
Lizenz eigener Beiträge: GNU General Public License

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von niesommer » 19.02.2013 17:18:01

Hallo,
Vielen dank für diese Tolle Erklärung :THX: und noch dazu in einer Sprach die ich auch lesen kann. :THX:
Bisher habe ich noch keine Erfahrung mit Bootsecure gemacht, hatte aber auch schon ein mulmiges gefühl als ich sah das mein Tuxedo Book im Bios was mit EFI und irgendwelchen Windows8 sachen drin stehen hat. Da ich eines ohne OS gekauft habe, und mir mein Debian lieber selber installiere auch wenn ich dafür dann viel Zeit und eure hilfe benötige, da ich nicht so ein großes wissen habe und vieles nicht mehr verstehe.
Ich bin einfach davon ausgegangen wenn jemand Linux als Verkaufsargument bennutzt das ich mich darauf dann auch verlassen kann. Das mag vielleicht etwas naiv sein, aber in diesem fall hatte ich glück und alles lief/läuft problemlos (hardware).
Ich habe für mich perönlich festgelegt mir erst einmal kein Gerät zu kaufen auf dem Secure Boot drauf ist, zumindest solange bis es massenweise Berichte darüber gibt das Debian bzw. linux im allgemeinen damit kein problem mehr hat. Das selbe tue ich jetzt schon seit ca. 1 Jahr auch mit Smart/Soft phones (ich habe kein handy mehr), da ich kein Vertrauen mehr in die Provider und Hersteller habe nach dem bekannt wurde das die dort Spionage software von haus aus installieren/aktivieren, angeblich ist das alles ja nur zu zwecke der Administration aber das glaube ich nicht mehr. Und meine kenntnisse reichen dafür nicht aus um so etwas selbst nach zu vollziehen, dafür bin ich nicht helle genug. Also lass ich einfach die finger davon und verweigere den Konsum. Also Pech für Microsoft und andere den Spielen reicht nun nicht mehr als Argument.
Um es etwas krasser auf den Punkt zu bringen: Kein Debian ---> kein PC, kein laptop ---> kein Internet!
Wird dann erstmal vielleicht etwas mehr Freizeit geben, aber die weiß ich auch ohne diese dinge auszufüllen, früher gabs das ja auch alles nicht und wir haben auch gelebt. :mrgreen:

Nochmal vielen dank für diese Wirklich tolle Erklärung. :THX:
Gruß niesommer
Gruß niesommer

Benutzeravatar
Emess
Beiträge: 3662
Registriert: 07.11.2006 15:02:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Im schönen Odenwald
Kontaktdaten:

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Emess » 19.02.2013 17:46:22

Ich find das auch! Ein Super Beitrag!
Wäre eine genial Sache für das Wiki am besten in kompakterer Form.
Aber wie du ja schon sagtest kann sich das von Hersteller zu Hersteller gewaltig unterscheiden. Leider! :twisted:

Danke für diese Super Info! :hail: :hail:
Debian Testing (bleibt es auch)
Debian Bullseye KDE Plasma 5x Kernel 5.10.0-12-amd64
Notebook HP ZBook 17 G2

http://www.emess62.de

lemak
Beiträge: 1213
Registriert: 09.11.2007 13:25:57
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von lemak » 20.02.2013 21:33:41

Emess hat geschrieben:Wäre eine genial Sache für das Wiki am besten in kompakterer Form.
Danke. Es gibt die Daumenregel, dass man beim ersten Überarbeiten 10% des Textes rausstreichen sollte. Aber hier kann keiner Deinen Foren Beitrag bearbeiten.

Benutzeravatar
ralli
Beiträge: 3899
Registriert: 02.03.2008 08:03:02

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von ralli » 21.02.2013 05:46:38

Ein überaus dickes Danke auch von meiner Seite für den hervorragenden und informativen Beitrag. Einen so in die Tiefe gehenden und aufklärerischen Artikel über UEFI und Konsorten habe ich noch nirgendwo gelesen. Absolute Spitzenklasse. :THX:
Wer nicht lieben kann, muß hassen. Wer nicht aufbauen kann muß zerstören.

Mecki
Beiträge: 26
Registriert: 26.01.2005 10:39:27
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: München

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Mecki » 21.02.2013 15:20:07

@ NAB

Ebenfalls, ein klasse geschriebener Beitrag! :THX:

Meine Erfahrungen mit (U)EFI habe ich in einem off topic dort: http://debianforum.de/forum/viewtopic.php?f=31&t=140804 so formuliert:

off topic: Debian startet auch auf diesem Win8 -Rechner im secure-boot modus. Ich habe via Netzinstallation im CSM- /Win7-Modus im (U)EFI die Debian wheezy ohne Bootloader installiert, dann zurück im Win8-Uefi-Modus Ubuntu 12.10 ebenfalls aufgespielt. Ubuntu nimmt in seinen Bootloader Debian auf und startet auch Debian im win8 secure-boot modus, siehe auch c't 1, 2013 Seite 51.

Ergänzend hierzu noch folgendes: ich habe sehr vorsichtig, aufbauend auf diesem Thread: http://debianforum.de/forum/viewtopic.php?f=12&t=139841 vorallem auf dem Verweis ins Thinkpad-forum : http://thinkpad-forum.de/threads/123262 ... boot-HowTo, wie vorgehend geschildert installiert.

Hierbei ist folgendes zu beachten: die Win8-Partition mit Windowsboardmitteln verkleinern, was zunächst nur von 1,8 TB auf die Hälfte geht. Dann habe ich in den verschiedenen Win8-Foren gelesen, wie Systemwiederherstellung pagefile-, hibernate-file Erstellung bei Win8 ausschaltbar ist, dann lies sich Win8 mit Boardmitteln auf 262 GB verkleinern. Achtung, bei Nichtbeachtung des Auschaltens dieser Win8-Funktionen mit Handanlegen einer Linux-live-cd (gparted) und einer Verkleinerung der Win8-Partition war Win8 bei diversen PCs zerschossen, sebst die Systemwiederherstellung bei OEM-Rechnern höchst problematisch. Wer also Win8 weiter benötigt, bitte Vorsicht!

Jetzt Fast-Boot im (U)EFI.Bios-setup auschalten, dann Debian installieren; diverse C't-Artikel nach lassen sich sonst ein ruhiges paralleles Nebeneinander mit wechselseitigen Zugriffen nicht ohne Datenverlust zu.

Kurz: ein paralleles Booten im (U)EFI-Modus von Win8/Debian ist erheblich vorsichtiger handzuhaben, als früher im Biosmodus!!!

Bei mir geht es nunmehr einwandfrei über F8 und den Ubuntuloader für Debian.

Schöner und etwas kosmetischer wäre natürlich, die Fehlermeldung Secureboot violation (Bootstop, nach Enter gehts weiter) weg zu bekommen und - wie früher- in "EasyBCD" (version 2.2) eine sauberes Parallelbooten hinzubekommen. Dazu reicht mein Wissen allerdings noch nicht aus. Der Systemreparturdatenträger der Win8-Installationscd räumt die Fehlermeldung und leider "noch mehr" bei mir auf, Debian/Ubuntu liesen sich nicht mehr booten.

Wenn sich die C't diesem Thema mal annehmen könnte, wäre das Heft gekauft.

Gruß und schönen Tag

Mecki
Die Erfindung des Planes durch den Menschen war die Ersetzung des Zufalls durch den Irrtum.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von NAB » 19.07.2013 05:17:31

Ich wärme diesen Thread mal auf ... vorallem wegen dieses Links:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=705484
Ein offener Debian-Fehler, in dem beschrieben wird, dass trotz eines BIOS-Boots von der Debian-Installer-DVD das System mit einem (anscheinend kaputten) UEFI-Boot eingerichtet wird. Danach ist es natürlich zumindest per BIOS-Boot unbootbar.

Wenn man sich etwas auskennt, sieht man natürlich das Problem - grub-efi wurde fälschlicher Weise installiert.

Reparieren kann man das auch recht einfach ... man bootet per Rescue-Mode und installiert dann den richtigen grub:

Code: Alles auswählen

apt-get install grub-pc
Aus meiner Sicht ist nicht klar, ob das nun ein Fehler im EFI ist, oder ein Fehler im Debian-Installer.

Ansonsten danke ich den Leuten, die hier zusätzliche Informationen beigesteuert haben, insbesondere Mecki für den Hinweis, wie das mit dem Secure Boot auch mit Debian klappen kann.

Allerdings fühle ich mich nicht berufen, hieraus einen Wiki-Eintrag zu machen. Zum einen sind meine Kenntnisse dafür zu dünn, und mir fehlt die Lust und der Antrieb, zig Installationsversuche auf meinen vorhandenen UEFI-Mainbords zu machen (das geht ja leider nicht in einer virtuellen Maschine) um die Eigenarten des Debian 7.1-Installers bei unterschiedlichen Installationswegen herauszufinden (und vermutlich gleichzeitig die Bugs in den EFIs zu dokumentieren). Zum anderen denke ich, der Text müsste aufgeteilt werden in allgemeine Erklärungen und in Debian-spezifische Installationsanleitungen, um Wiki-gerecht zu sein, wodurch der Charakter des "alles wird in einem Text erklärt" verschwinden würde, was ich wiederum schade fände. Ich gebe jedoch ausdrücklich meine Erlaubnis, meinen Text ins Wiki zu kopieren und nach belieben zu bearbeiten, falls sich jemand bemüßigt fühlt, die Sache anzugehen.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

elgeh
Beiträge: 52
Registriert: 28.04.2009 06:54:47

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von elgeh » 26.07.2013 07:57:00

So richtig habe ich das noch nicht verstanden.

Konfiguration eines neuen PC steht an.
1. Mainboard ohne UEFI - gerne ASUS oder Gigabyte, sind im örtlichen Handel nicht verfügbar -
2. Mainboard mit UEFI

Da ich persönlich keinen Sinn in UEFI sehe

Frage:
a) Kann ich die UEFI Funtion komplett abschalten - das behauptet der Händler?
b) Gibt es Probleme bei der Installation von Debian stable / testing

Bin für jeden Tip eines guten Mainboards ohne UEFI dankbar!

Gruß
elgeh

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von NAB » 26.07.2013 08:43:12

elgeh hat geschrieben:1. Mainboard ohne UEFI - gerne ASUS oder Gigabyte, sind im örtlichen Handel nicht verfügbar -
Naja ... da EFI jetzt seit mindestens 2 Jahren auf der Agenda steht und die Mainboard-Modelle so ungefähr im Jahrestakt wechseln, kriegsst du alte Modelle nur noch auf dem Gebrauchtmarkt. Mit Ausnahmen ... ein neues Board für einen guten alten Pentium 4 mit Sockel 478 kriegst du immer noch neu ... falls du noch einen alten Prozessor dafür hast. Wenn du also EFI unbedingt vermeiden willst, wirst du bei alternder Hardware landen.
elgeh hat geschrieben:a) Kann ich die UEFI Funtion komplett abschalten - das behauptet der Händler?
Nein, das kannst du nicht. EFI ist der Ersatz für das BIOS, und es gibt auch kein Mainboard, bei dem du das BIOS komplett abschalten kannst (außer mit dem Hammer).

Aber wo du schon von dem Kauf eines einzelnen Mainboards redest ... ich hab noch von keinem Desktop-Mainboard gehört, das ohne BIOS-Support gekommen ist. Du kannst also auf die (eventuell komplizierten) EFI-Boot-Mechanismen verzichten, und alles wie gewohnt per BIOS-Boot einrichten. Ich sehe da keine Probleme.

Die Probleme gibt es nur bei schlecht gearbeiteten Win8-Notebooks.
elgeh hat geschrieben:b) Gibt es Probleme bei der Installation von Debian stable / testing
Bei Testing kann es immer Probleme geben, bis es fertig ist.

Bei Stable hab ich noch von keinen Problemen gehört, solange es um Desktop-Mainboards geht. Du wirst aber nicht drum herum kommen, die Gebrauchsanweisung für dein Mainboard zu lesen.
elgeh hat geschrieben:Bin für jeden Tip eines guten Mainboards ohne UEFI dankbar!
Ich weiß ja nicht, was du schlimmes über UEFI gehört hast, aber es macht mit aktuellem Debian-Stable auf üblichen Desktop-Mainboards absolut keine Probleme. Problematisch sind eher die Fehler, die einige Hersteller in ihre BIOSse oder EFIs einbauen, und nie korregieren. Noch problematischer sind ununterstützte Chips auf dem Mainboard, was aber absolut nix mit EFI zu tun hat.

Von Asus würde ich abraten, bei denen gilt Linux als "not supported".

Gigabyte braucht Jahre, um Fehler in ihren BIOSsen oder EFIs zu beseitigen ...

ASRock hat einen immer besseren Ruf, was den Linux-Support angeht.

Im Zweifelsfall frag Goggle nach dem konkreten Mainboard und "debian" oder "ubuntu".
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

tarrasch

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von tarrasch » 26.07.2013 08:49:05

Morgen NAB,
vielen Dank für diesen tollen Beitrag :THX:
MFG
tarrasch

christianberlin
Beiträge: 33
Registriert: 13.02.2011 02:07:22
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Berlin
Kontaktdaten:

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von christianberlin » 03.08.2013 14:39:00

Hallo,

auch von mir ein ganz herzliches Dankeschön für den aufschlussreichen Beitrag! *verneig*

Bei Recherchen bezüglich eines Notebook-Neukaufs bin ich bei Toshiba auf eine gute bebilderte Anleitung zur Deaktivierung von Secure-Boot gestoßen:

http://aps2.toshiba-tro.de/kb0/TSB2C03F80002R01DE.htm

In wieweit diese nur für Toshiba-PCs oder auch für andere Hersteller gilt, lässt sich natürlich nicht sagen, wie aus dem Anfangsthread hervorgeht.

Viele Grüße,
Christian

Benutzeravatar
Bachsau
Beiträge: 63
Registriert: 06.05.2011 02:48:13

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Bachsau » 10.11.2013 00:23:25

NAB hat geschrieben:Ein reines EFI kann per Spezifikation nur mit GPT-Partitionen umgehen und startet einen Bootloader, der in einer FAT-Partition als Datei hinterlegt ist.
Falsch. Die Spezifikation schreibt vor, dass EFI auch von MBR-Partitionierten Datenträgen booten können muss. Zu diesem Zweck wird aber nicht der MBR-Benutzt, sondern ebenfalls eine darauf angelegte FAT-Partition, für die sogar eine eigene Partitionskennung festgelegt wurde, und die den EFI-Bootloader enthält.

maledora4

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von maledora4 » 10.11.2013 17:40:22

Wer lesen kann, ist klar im Vorteil.
Ich kann nicht erkennen, was bei NAB falsch sein soll. Er schreibt genau das, was Du versuchst richtig zu
stellen. :wink:

http://de.wikipedia.org/wiki/UEFI
http://de.wikipedia.org/wiki/GPT-Partition
http://feitel.indeedgeek.de/2012/10/mbr_vs_efi/

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Celica » 04.02.2014 21:18:31

Hallo,

zunächst einmal herzlichen Dank für die super Zusammenfassung.

Ich bin gerade dabei meinen neuen Rechner (s. hier: http://debianforum.de/forum/viewtopic.php?f=15&t=146271 ) zusammen zu bauen und stehe somit am WE (wenn nicht`s dazwischen kommt :-) vor der Installaation von Wheezy.
Das Thema UEFI und Secure Boot hat mit schon bei der Auswahl des Mainboards beschäftigt und Nerven gekostet.

Ich habe mich also nun für das ASUS P8Z77-V LX entschieden was naturgemäß mit einem UEFI kommt, aber wohl (ich werde es erfahren) ohne Secure Boot (was sich aber hätte wohl auch abschalten lassen).

Nun gehe ich davon aus, dass Wheezy mittlerweile in der Lage ist eine Installation unter UEFI zu bewerkstelligen.

Da lediglich nur ein Betriebssystem auf meinem Rechner installiert wird und das ausschließlich Debian sein wird, stelle ich mir eigentlich den einfachsten Fall einer Linux Installation vor.

Habe ich richtig verstanden das wenn ich (U)EFI einsetzen möchte und das ohne den BIOS-Kompatibilitätsmodus, dann muss ich zwingend eine GPT-Partition verwenden.
Ich rate jedoch, wenn man sich für GPT entscheidet, am Anfang zwei Partitionen extra unterzubringen. Eine 1024 KB Partition für Grub, wie unter "Squeeze" beschrieben. Und eine 250 MB FAT Partition für EFI-Bootloader. Wenn ihr beide habt, könnt ihr später ohne viel Ärger zwischen EFI-Boot und BIOS-Boot hin- und herspringen.
In die FAT-Partition wird dann "grub-efi" installiert ?

Kann der Debian Installer überhaupt entsprechend Partitionen unter GPT erstellen ?

In meinem System wird eine SSD mit 60 GB für alles außer der /home Partition untergebracht sein. Dafür habe ich eine 1TB HDD vorgesehen. Also habe ich zwei SATA-Platten im System.

Habt Ihr hierzu noch Tips wie ich am besten die SSD Partioniern sollte (sind ja jetzt reichlich Partitionen möglich :-).

Mir ist auch noch nicht klar was Debian Wheezy bei der Installation machen wird.
Kann ich davon ausgehen das das der Installer sich den gangbaren Weg, (U)EFI oder aber BIOS-Boot (BIOS-Kompatibilitätsmodus) aussuchen wird und dann entsprechend alles selber bestimmt ?
Normalerweise habe ich das alles selber in die Hand genommen bei meinen früheren Installationen, sprich keine geführte Partitionierung bzw. Installation.

Was muss ich hier beachten ?
Wo sind Fallstricke bei der Installation ?

Bei dem Einfachstfall meiner Installation habe ich die Hoffnung das nicht so viele Probleme auftreten werden.

Habe ich das so grundsätzlich richtig verstanden und könnt Ihr mir noch ein paar Tips geben ?

Ich werde ein
Netzinstallations-Images (typischerweise 240–290 MB), nicht-freie CD-Images mit Firmare
verwenden, da bei dem ASUS Board das OnBoard LAN ohne freie Firmware daher kommt.
Muss ich hier noch etwas beachten ?
Danke !

Ciao

Celica

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von JTH » 04.02.2014 22:18:10

Hi,
ich habe letztens meinen Laptop aus Interesse mit reinem UEFI-Boot neu aufgesetzt. Ich habe dabei zwar das aktuelle Netinstall-Image für Testing benutzt, aber der Debian-Installer kommt mit UEFI wie du geschrieben hast schon seit Wheezy zurecht. Probleme hatte ich dabei keine.

Bei der geführten Partitionierung wird die notwendige EFI-Systempartition automatisch angelegt (mit rund 500MB – bei mir sind davon im Moment 144KB belegt). Auf dieser Partition installiert grub-efi dann einen Bootloader, mit dem die UEFI-Firmware umgehen kann. Eine weitere kleine Partition für Grub brauchst du für reines UEFI-Booten nicht.

Wenn du manuell partitionieren willst, erstellst du einfach eine EFI-Systempartition und markierst sie als Bootpartition (ist das überhaupt notwendig?). Bei mir wurde grub-efi dann automatisch richtig installiert.

Wie oben von Bachsau geschrieben ist GPT nicht umbedingt notwendig, aber es spricht doch nichts dagegen, oder? Wenn du ohne BIOS-Kompatibilitätsmodus bootest, verwendet der Installer eine GPT zum Partitionieren.

Zu Secure Boot hab ich letztens gelesen, dass Microsoft anscheinend bei für Windows zertifizierter Hardware (was die meiste Hardware wohl sein wird) sogar außer bei Tablets fordert, dass Secure Boot abschaltbar sein muss. [1] Dürfte also hoffentlich keine Probleme machen.

Die Aufteilung auf Partitionen ist Geschmackssache, ich lege meist jeweils eine für /, Swap (für Suspend-to-Disk) und /home an.

Bei der Partitionierung der SSD musst du eigentlich auch nicht mehr viel beachten, der Installer richtet Partitionen von alleine geeignet aus. noatime ist als Mount-Option aber empfehlenswert, um die Menge der Schreibzugriffe etwas zu verkleinern.

Viel Erfolg :wink:

[1] https://www.happyassassin.net/2014/01/2 ... work-then/
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
Bachsau
Beiträge: 63
Registriert: 06.05.2011 02:48:13

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Bachsau » 08.02.2014 02:55:52

Generell würde ich aber immer dazu raten, die Partitions-Struktur vorher anzulegen, z.B. mit Gparted Live. Bei den Installern weiß man nie, womit man es zu tun bekommt und was sie bieten. Deshalb mache ich meine Layouts lieber selbst.

Tatsächlich sollte es auch möglich sein, einen EFI-Boot von einer MBR-Partitionierten Platte durchzuführen, wobei dann auch in dieser Strukter eine EFI-Systempartition mit Typecode 0xEF anzulegen wäre. Ob das sinnvoll ist, sei mal dahin gestellt. Ich werde bei der neuinstallation meines Netbooks im April den umgekehrten Weg wählen, und das BIOS von einer GPT booten lassen.
Celica hat geschrieben:Kann ich davon ausgehen, dass der Installer sich den gangbaren Weg, (U)EFI oder aber BIOS-Boot (BIOS-Kompatibilitätsmodus) aussuchen wird?
Du kannst davon ausgehen, dass er den Weg wählt, mit dem er selbst aufgerufen wurde. Wenn du die Installations-DVD im EFI-Modus startest, wird es eine EFI-Installation. Im anderen Fall eine BIOS-Installation. Das solltest du in deinem Setup-Tool vorher richtig einstellen, wobei ich persönlich auf veraltete Emulationen verzichten würde. Ich habe neulich auf einem BIOS-System mit EFI-Emulation einen WHS 2011 installiert. Das ging ziemlich perfekt.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Lohengrin » 10.05.2014 01:01:23

NAB hat geschrieben:b) BIOS-Boot von GPT
Die GPT enthält als ersten Sektor noch immer einen MBR. Im MBR steht ein winziger Bootloader und die Partitionstabelle ... eh ... nein ... die Partitionstabelle steht jetzt ja am Anfang der GPT. Der MBR der GTP enthält trotzdem noch eine Partitionstabelle ... diese enthält genau eine einzige Partition, die den gesamten Rest aller GPT-Partitionen einschließt. Das dient zum Schutz der GTP, dementsprechend heißt dieser MBR in der GPT auch "protective MBR". Aber egal ... was uns ja interessiert ist das Booten ... und das geht wie bisher auch ... der MBR wird gelesen, der Bootloader ausgeführt und lädt im Fall von Grub hoffentlich die Stage 2 und alles läuft wie gewohnt weiter.

c) BIOS-Boot vom MBR
Auch das ist mit EFI im BIOS-Kompatibilitätsmodus problemlos möglich. Ob MBR oder GTP, das hat ja nicht das EFI zu entscheiden, sondern euer Partitionierungsprogramm. Und das geht wie gewohnt ... der MBR wird gestartet, denn Grub ... alles beim Alten.
Wo ist der Unterschied zwischen den beiden? Ich verstehe es einfach nicht.

Der erste Block der Festplatte ist der MBR. Wenn auf der Platte GPT ist, dann ist der MBR der protective MBR vom GPT.
Bei Bios-Boot liegt der Stage1 von Grub im MBR. Dann kommt noch ein Stage1_5, der weiß, wie das Dateisystem, auf dem Stage2 von Grub liegt, zu lesen ist. Und dann wird Stage2 von Grub geladen.

Der Stage1 kann auch am Anfang einer Partition liegen. Wenn man von einem Grub Stage2 aus Chainloader auf diese Partition macht, wird ein anderer Grub geladen. Ist b) das Laden eines Grub, wo dessen Stage1 am Anfang einer GPT-Partition ist?
Harry, hol schon mal das Rasiermesser!

Benutzeravatar
Bachsau
Beiträge: 63
Registriert: 06.05.2011 02:48:13

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Bachsau » 10.05.2014 04:32:43

Nein, "c" beschreibt den althergebrachten Startvorgang auf einem normalen MBR, "b" beschreibt wie GRUB auf einem normalen BIOS-Rechner den Boot von einer GPT partitionierten Platte regelt. Im Prinzip besteht dabei kein Unterschied im Ablauf des Bootvorgangs, außer dass die Stage1_5 bei GPT-Platten in einer eigenen Partition abgelegt wird, da der sonst freie Bereich direkt hinter dem MBR hier für die GPT verwendet wird.

Ich glaube NAB wollte mit seinem Beitrag nur verdeutlichen, dass GPT nicht vom BIOS unterstützt werden muss, um davon starten zu können. Es lädt einfach nur die ersten 512 Bytes der Festplatte in den Speicher, und führt sie aus. Wenn der darin enthaltene Code, in diesem Fall GRUB Stage1, dann die GPT lesen kann, ist alles in Ordnung.

Ein EFI-System dagegen benutzt diese ersten Bytes der Platte überhaupt nicht zum Start, sondern liest die Startsequenz (bei GRUB die Stage1) aus einer Datei auf einer speziellen FAT32-Partition. Diese Partition kann sich sowohl auf einer mit GPT, als auch einer mit MBR partitioniertem Platte befinden. Eine Stage 1_5 entfällt.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Lohengrin » 10.05.2014 10:01:44

Bachsau hat geschrieben:Ein EFI-System dagegen benutzt diese ersten Bytes der Platte überhaupt nicht zum Start, sondern liest die Startsequenz (bei GRUB die Stage1) aus einer Datei auf einer speziellen FAT32-Partition. Diese Partition kann sich sowohl auf einer mit GPT, als auch einer mit MBR partitioniertem Platte befinden. Eine Stage 1_5 entfällt.
Funktioniert das Folgende?
Man nehme ein Mainboard mit EFI und BIOS-Kompatibilitätsmodul, eine Festplatte mit altlastiger Partitionierung, auf einer Partition FAT32 und auf dieser den Stage2 unter dem Namen /EFI/boot/bootx64.efi .
Was passiert, wenn es mehr als eine Partition mit FAT32 gibt?
Harry, hol schon mal das Rasiermesser!

Benutzeravatar
Maik aus MS
Beiträge: 596
Registriert: 19.08.2005 17:01:19
Wohnort: Greven
Kontaktdaten:

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von Maik aus MS » 10.05.2014 10:43:49

Hallo, kleine Nachfrage:
Allerdings erlaubt die GPT bis zu 128 Partitionen und Partitionsgrößen über 2GB
Muss es nicht so sein:
Allerdings erlaubt die GPT bis zu 128 Partitionen und Partitionsgrößen über 2TB
Ansonsten ein sehr guter Beitrag!! Das die Efi-Partition in FAT sein muss gefaellt mir auch nicht.

Maik
Die mich kennen mögen mich.
Die mich nicht mögen können mich.

dirk11
Beiträge: 2812
Registriert: 02.07.2013 11:47:01

Re: Debian auf UEFI - GPT, MBR, BIOS, Grub, Secure Boot, Win

Beitrag von dirk11 » 10.05.2014 11:45:29

Maik aus MS hat geschrieben:Hallo, kleine Nachfrage:
Allerdings erlaubt die GPT bis zu 128 Partitionen und Partitionsgrößen über 2GB
Muss es nicht so sein:
Allerdings erlaubt die GPT bis zu 128 Partitionen und Partitionsgrößen über 2TB
Und wo genau ist jetzt ein Unterschied zwischen den beiden identischen Zitaten?

Antworten