# [solved] Gentoo parallel zu Windows 10 mit Secure Boot

## Lixos

Hallo Community,

ich habe nun das Vergnügen, mich mit UEFI zu beschäftigen und ein lauffähiges, verschlüsseltes Linux neben

Windows 10 bei aktivierten Secure Boot zu installieren.

Da Secure Boot jetzt auch nicht erst kürzlich etabliert wurde, wundert es mich schon ein wenig, darüber keine schlüssige Installationsanleitung zu finden.

Allgemein scheint Linux diesem Thema etwas hinterherzueilen. Der Knackpunkt ist wohl die Signatur des Loaders, welche Microsoft verlangt.

Wie dem auch sei, ich habe glücklicherweise zu Gentoo den Guide von Sakaki entdeckt und mich hier schon sehr detailliert einlesen können.

In jedem Fall möchte ich auf das Overlay von Sakaki verzichten und benötige ab dem Menüpunkt zur Kernelerstellung Eure Unterstützung.

Vorhaben:

- Verschlüsselter USB - Stick mit dem Linux Kernel

- Verschlüsseltes Gentoo System über LVM auf separater Festplatte

Wie bekomme ich nun einen unter Secure Boot lauffähigen Linux Kernel auf meinen USB - Stick und was muss ich auf der ESP angeben?

Vielleicht hat auch rEFInd schon Secure Boot - Unterstützung? Nach meinem aktuellen Stand, nutzt Fedora als auch Ubuntu den von Microsoft signierten Loader Namens Shim.

Aber diesen gibt es wohl unter Gentoo nicht. Wie also kann ich hier Vorgehen, welche Einträge müssen wohin? Ich bräuchte wohl auch ein initramfs, da gpg, crypt-dm und lvm vorher als Module geladen werden müssten?

Vielleicht kann mir mal jemand kurz die Funktionsweise bzw. die mögliche, notwendige Startreihenfolge erklären...

Ich habe auch die Möglichkeit in meinem BIOS einen eigenen Schlüssel anzugeben, welcher von Secure Boot akzeptiert würde.

Schon mal Danke im Voraus für Eure Unterstützung.

Gruß Lixos

Aufteilung:

/ESP entweder die Partition auf meiner Windows Partition mit Nutzen oder mit auf den verschlüsselten USB - Stick

/Boot auf dem verschlüsselten USB - Stick mit initramfs und Kernel (Zugriff über Passphrase)

Auf separater Festplatte (mit LVM verschlüsselt, Zugriff über Passphrase und Keyfile vom USBStick):

/root

/swap

/homeLast edited by Lixos on Wed Apr 06, 2016 1:56 am; edited 1 time in total

----------

## Sedoina

Hallo, 

wenn du Sakakis Methode nicht nützen willst so wie ich, kann dir der Link unten vllt etwas weiterhelfen ( zumindest hat er es bei mir ).

-->https://www.boerngen-schmidt.de/2015/04/gentoo-and-windows-8-1-secure-boot-setup/

Danach funktioniert alles so wie es soll. Bei deinem speziellen Vorhaben kann ich dir aber nicht weiterhelfen, das übersteigt meinen Erfahrungsbereich =D

Liebe Grüße

----------

## forrestfunk81

Ich hab mich auch an Sakakis Howto orientiert, aber seine/ihre Skripte und Overlay nicht verwendet. 

Im Grunde kann man das Vorhaben in mehrere Teilschritte aufteilen:

1. Gentoo Basesystem in verschlüsseltem LVM installieren (wie in Sakakis Guide)

2. Verschlüsseltes Gentoo booten. Dazu braucht man ein Initramfs (entweder via Genkernel, Dracut oder Custom). Ich habe mir ein Custom Initramfs gebaut, allerdings vorerst ohne PGP. Man kann Initramfs und Kernel mittels UEFI auch ohne extra Bootloader starten.

3. Wenn das alles klappt, kann man den Kernel signieren wie in Sedoinas Link.

Auf meinem USB Stick liegt nur der Kernel (mit darin enthaltenem Initramfs) /EFI/Boot/bootx64.efi, ein /ESP habe ich nicht.

----------

## Lixos

Vielen Dank für Eure Unterstützung.

Ich werde es in den kommenden Tagen so probieren.

Gruß Lixos

----------

