[ Пред. ] [ Содержание ] [ След. ]

UEFI

[ @install @uefi ]

 


UEFI — Unified Extensible Firmware Interface.


Общая идея


Раньше при установке системы нужно было создать раздел для корня операционной системы (для “/”) и указать его в качестве загрузочного. Сейчас же для установки системы нужно

  1. отключить в BIOS контроль за перечнем разрешённых к установке операционных систем,
  2. создать отдельный раздел особого формата.

Раньше при установке системы на диске автоматически создавался новый маленький, но отдельный раздел MBR (“Master Boot Record”, «главная загрузочная запись» на диске), с чтения которого начиналась загрузка операционной системы — Windows она или какие-либо другие.


Debian ставила свой загрузчик системы (GRUB, GRand Unified Bootloader, загрузчик операционной системы от проекта GNU) в пустое место между MBR и первым разделом основного диска (там как минимум 31 килобайт), которое называется «область встраивания» (хотя в оригинале это называется «boot track» и переводится как «загрузочная дорожка».


Но это в прошлом, технология MBR уже отпадает. Теперь для установки операционной системы на компьютер следует сперва создать на основном диске новый, отдельный системный раздел.


В установщике Debian он называется «системный раздел для EFI».


Корень (и всё остальное) устанавливают на отдельный раздел, но указывать его в качестве загрузочного уже незачем.


”/home”, как и прежде, можно положить на отдельный раздел на диске.


Создать системный раздел EFI


Создать новый раздел. Размер: 602.0 MB.

Почему 600 mb — когда Debian создаёт такой раздел автоматически, то размер раздела равен 536.9 mb.
Местоположение нового раздела: Начало
Имя: например, «uefi»
Использовать как: системный раздел EFI
Метка ’загрузочный’: вкл


Файловая система для нового раздела будет отображаться как “ESP”.


Теория UEFI


Прежде чем запустить операционную систему, компьютер должен «прозвонить» все устройства, из которых он состоит. Для этого последовательно запускается набор микропрограмм, которые образуют интерфейс между железом компьютера и его операционной системой. Раньше стандартом был интерфейс BIOS (Basic Input/Output System). На замену ему пришёл UEFI (Unified Extensible Firmware Interface) — технологически более продвинутый зверь.


Поначалу покажется, что загрузка и загрузка, просто более продвинутая. Но нет, это вообще новое окружение, в котором просто так не разрулиться.


https://www.happyassassin.net/posts/2014/01/25/uefi-boot-how-does-that-actually-work-then/


В новом интерфейсе есть множество плюсов:


Не все компьютеры (и операционные системы) были готовы работать с новым интерфейсом, и много лет была возможность загружать операционные системы в промежуточном состоянии между BIOS и UEFI — “Legacy Boot Mode”. Название это условное и не принципиальное, подразумевает «режим совместимости» для загрузки операционной системы с MBR.


“Master Boot Record”, «главная загрузочная запись» на диске, с которого должна загружаться операционная система. Ныне считается устаревшим подходом.


То есть, железо уже обслуживает UEFI, а операционная система устанавливается «по старым порядкам». Вечно это продолжаться не может, и чем новее компьютер, тем выше вероятность, что промежуточного “Legacy Boot” просто не будет.


А ещё в UEFI есть отличное новшество вроде сертификаты безопасности для нескольких операционных систем, которым компьютер будет безусловно «доверять».


Они находятся в настройках UEFI


Security
> Security Boot
> Key Management


С одной стороны, это гарантирует, что «чужая система» не сможет загрузиться, что повышает безопасность в целом. Но Windows там есть, а Debian там нет… И если раньше на компьютеры с UEFI можно было просто установить Debian в режиме “Legacy Boot Mode” (через MBR), то теперь придётся повозиться.


Подготовка к установке


Подключить к компьютеру установочное устройство. Можно поставить систему с флэшки. В моём случае установка с DVD, который находится во внешнем CD-ROM через USB — не суть важно.


Вход в bios в Lenovo через клавишу [F1].


Учесть, что сейчас будет сделан ряд настроек, которые противоречат идее «запретить вероятное вторжение в работу компьютера». Возможно, какие-то из отключаемых опций позже будет разумно включить обратно.


Также для простоты рассматриваем только установку Debian, без дополнительных операционных систем вроде Windows.


Проверить Network Setup


Devices
> Network Setup
> Onboard Ethernet Controller = Enabled


Иначе инсталлятор скажет, что нет сетевой карты.


Отключить Roll Back Prevention


Security
> Secure Roll Back Prevention = No


Отключить TPM

В компьютерах Lenovo установлен отдельный чип (иногда только его программное обеспечение), который отвечает за управление сертификатами и криптографией. Управление всем этим делом называется TPM (Trusted Platform Security), без неё Windows 11 работать не будет.


Вкл/Выкл в разделе “TCG Feature Setup” (Trusted Computer Group?).


Security
> TCG Feature Setup
> Security Chip = Disabled



При этом отключается параметр “Physical Presence for Clear”.


Отключить Secure Boot


Security
> Secure Boot
> Secure Boot = Disabled


Перейти в User Mode


Там же, на странице “Secure Boot” убедиться в том, что System Mode = User mode.


Есть три режима работы для Secure Boot:


User mode установлен по-умолчанию.


Audit mode is a debug mode to validate a device's secure boot configuration (i.e. testing things like GPU GOP drivers that will can break the boot process if Secure Boot is fully enabled but they aren't compatible). It runs all the normal checks that secure boot does but simply logs the results instead of enforcing them.


Deployed mode is a more strict version of the normal Secure Boot mode (i.e. User Mode), it does all the same things that User Mode does except it also blocks certain programmatic methods that could be used to alter the Secure Boot mode without a user physically booting into UEFI settings and changing it there.


Режим переключается в меню “Enter Deployed Mode”.


Если что, можно будет переключиться в режим Audit.


Отключить Device Guard


Security
> Device Guard = Disabled


Настроить Boot Order


Точнее, проверить его изначальное состояние:


Startup
> Boot Priority Order


Если там есть USB CDROM (или флэшка, не суть важно) и другие источники загрузки — по-умолчанию там есть „Network [UEFI: PXE IPv4 Realtek…“, которые уже были отключены — понажимать клавишу [+], чтобы эта строка поднялась на первое место. Иначе тут все ОК.


Отключить Fast Boot


Startup
> Fast Boot = Disabled


Отключить «сон компьютера»

Не принципиально, но можно. Если уже выключать компьютер, то полностью:


Power
> After Power Loss = Power Off
> Enchanced Power Saving Mode = Disabled


F10 > Yes, ждём загрузку рабочего меню Debian с DVD.


Разметить диск для установки системы

В “Debian Installer” на шаге «Разметка дисков» выбрать «Выполнить установку в UEFI = [Да]».


Саму разметку дисков сделать вручную, особенно если их два. Сперва рекомендуется удалить с диска ВСЕ разделы, если таковые есть, особенно отдельный раздел на 1мб для BMR, и разметить всё с нуля.


Создать системный раздел EFI


Создать новый раздел. Размер: 602.0 MB.


Почему 600 mb — когда Debian создаёт такой раздел автоматически, то размер раздела равен 536.9 mb.


Местоположение нового раздела: Начало



Файловая система для нового раздела будет отображаться как “ESP”.


Создать раздел для /


(cтандартные опции для рабочей системы на SSD)


Да, ВЫКЛ, потому что загрузочным отныне является системный раздел EFI.


Создать раздел для swap


Размер: столько же, сколько есть ram.


Куда поставить: на hdd.


Создать раздел для /home


Всё стандартно. Можно поставить его на отдельный диск.


Обратные ссылки: Software