Live CD/USB personnalisé Ubuntu, UEFI et secure boot

Version imprimable

Bonjour,

j'avais réalisé, il y a un ou deux ans, la construction d'un live CD/USB personnalisé de sauvegarde-dépannage sur la base d'une Ubuntu 16.04 minimale. Ce live était en mesure de booter aussi bien en Legacy qu'en UEFI avec secure boot.

Désireux d'automatiser sa construction pour le mettre régulièrement à jour, je me heurte depuis deux semaines à des difficultés pour lesquelles je ne trouve pas de réponse.

La construction de ce même live échoue aujourd'hui à booter en UEFI. Pour tenter de comprendre à quel niveau se trouvait le problème, je me suis amusé à tester la décompression et reconstruction d'iso officielles Ubuntu avec xorriso, sans rien modifier du contenu. Voici mes constats:

La décompression d'une iso 16.04 et reconstruction sous une xubuntu 18.04 conduit à un échec en UEFI
La décompression d'une iso 16.04 et reconstruction sous une xubuntu 16.04 conduit au même échec.
Si l'on utilise les fichiers de boot d'une 18.04 pour construire une 16.04 au sein d'une machine 18.04, le menu grub démarre mais :

le système démarre en UEFI sans secure boot
on a un échec lors du lancement de la distribution en secure boot avec un message d'erreur de signature invalide pour vmlinuz

Quelqu'un a-t-il des explications là-dessus, et la solution pour reconstruire un live 16.04 compatible UEFI et secure boot ?

Précisions:

pour le fichier isohdpfs.bin, j'ai tenté les différentes possibilités:

utiliser celui fourni par l'installation du paquet isolinux
le construire à partir de la mbr de l'iso par

Code:

sudo dd if=/chemin/image.iso bs=512 count=1 of=isohdpfx.bin

Pour la construction de l'iso, j'utilise la commande suivante :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 xorriso -as mkisofs \ -isohybrid-mbr /chemin/isohdpfx.bin \ -c isolinux/boot.cat \ -b isolinux/isolinux.bin \ -no-emul-boot \ -boot-load-size 4 \ -boot-info-table \ -eltorito-alt-boot \ -e boot/grub/efi.img \ -no-emul-boot \ -isohybrid-gpt-basdat \ -o ~/mon-live.iso \ /chemin/dossier/fichiers-boot-iso

10/04/2019, 21h08
chrtophe

Salut Philippe, reprends les tutos qu'on a fait sur Redobackup, tu devrais pouvoir régénérer un iso au moins en 16.04.
10/04/2019, 22h04
Philippe Dpt35

Salut Christophe,

j'ai bien entendu revu tout cela. D'où mon post, car c'est vraiment incompréhensible ! Si un expert passe par là et peut nous éclairer !
Tout simplement décompresser une iso native Ubuntu sans rien modifier et la reconstruire ne passe pas !

Edit: sous une xubuntu 18.04, pour construire un live basé sur une 18.04, aucun problème. Mais impossible avec une 16.04, que la construction se fasse sous une 16.04 ou une 18.04
11/04/2019, 08h42
chrtophe

Que cherches tu à faire concrètement ? Donnes un exemple précis de ce que tu veux modifier. je pourrais tester.

Citation:

Envoyé par chrtophe

Que cherches tu à faire concrètement ? Donnes un exemple précis de ce que tu veux modifier. je pourrais tester.

Essaie cette chose toute simple qui ne devrait avoir aucune raison de ne pas fonctionner en UEFI et secure boot :

tu montes une iso ubuntu 16.04, tu en copies les fichiers dans un répertoire, et tu recrées l'iso depuis ce répertoire avec
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 xorriso -as mkisofs \ -isohybrid-mbr /chemin/isohdpfx.bin \ -c isolinux/boot.cat \ -b isolinux/isolinux.bin \ -no-emul-boot \ -boot-load-size 4 \ -boot-info-table \ -eltorito-alt-boot \ -e boot/grub/efi.img \ -no-emul-boot \ -isohybrid-gpt-basdat \ -o ~/mon-live.iso \ /chemin/dossier/fichiers-boot-iso
ou même la commande utilisée pour notre mise à niveau de Reddobackup (mais elle est identique, à une option près en fin de commande).

ça fonctionne pour pour une iso 18.04 sous une Ubuntu 18.04, mais rien à faire avec une iso 16.04 ! J'aboutis systématiquement sur le shell grub en UEFI.

11/04/2019, 20h11
chrtophe

Si tu reprend notre tuto, nous nous en étions sorti avec isomaster :
https://chrtophe.developpez.com/tuto...xenial/#L5-3-2

Et si tu regardes le paragraphe précédent, l'approche xoriso ne fonctionnait pas avec le secureboot.
11/04/2019, 20h28
Philippe Dpt35

J'ai un live CD/USB personnalisé construit sur une 16.04 qui fonctionne en UEFI Secure boot, et il me semble que je l'avais construite avec xorriso, sans utiliser isomaster. Mais je n'en suis plus sûr à 100% car ça remonte à pas mal de temps déjà !

Avec et sous une 18.04, xorriso suffit à construire une iso compatible UEFI et secure boot. Je l'ai fait à plusieurs reprises. On a ainsi construit une PrimTux Lubuntu: https://framagit.org/philippe-dpt35/primtux-lubuntu

En lisant diverses docs sur xorriso, il est sensé être en mesure de construire une iso compatible UEFI avec les options indiquées.
Pourquoi est-ce que ça fonctionne pour des 18.04, et pas pour des 16.04 ?

Edit: dans le tuto, avec xorriso, on obtenait une iso compatible UEFI (mais pas secure boot). Là ce que j'obtiens n'est même pas compatible UEFI.
11/04/2019, 20h47
chrtophe

La version de xorriso est peut-être plus récente sur 18 que sur 16. Sinon je vois pas.
12/04/2019, 09h34
Philippe Dpt35
C'est effectivement le cas:
- xorriso 1.4.2-4ubuntu1 sur la 16.04
- xorriso 1.4.8-3 sur la 18.04
Mais cela n'explique pas pourquoi on ne peut même plus avoir une iso compatible UEFI sur la 16.04 alors que ça avait été possible lors de la rédaction de notre tuto. Si c'est lié à un changement de version de xorriso, cela s'est fait de manière régressive !
13/04/2019, 15h01
Philippe Dpt35

Bon, problème résolu !

Comme souvent dans ce genre de situation, c'est le détail "alacon" qui est cause du problème !:mrgreen:

L'iso contient un répertoire caché .disk, indispensable au boot en UEFI et secure boot.

Je n'ai pas été constant dans ma façon de recopier les fichiers de l'iso dans le répertoire de construction, ce qui fait que ça m'a échappé.

Une fois ce dossier caché correctement récupéré, ça fonctionne en UEFI et secure boot, aussi bien avec une 16.04 qu'avec une 18.04 !
13/04/2019, 23h51
Philippe Dpt35

Pour ceux que ça intéresse, j'ai mis à libre disposition sur Framagit un script de construction d'un live CD/USB de sauvegarde-dépannage sur une base Ubuntu i386 Xenial, en mesure de démarrer aussi bien en UEFI secure boot qu'en legacy : https://framagit.org/philippe-dpt35/osdi

Je développerai dans la foulée des versions 32 et 64 bits sur une base Ubuntu 18.04.

Très utile pour ceux qui sont amenés à faire du recyclage de PC, ou à dépanner des proches Il vous sera aisé de le personnaliser en fonction de vos besoins.

Est également fourni un iso tout fait pour ceux qui veulent profiter immédiatement de l'outil qui intègre la plupart des logiciels essentiels. Le readme fournit les explications nécessaires.
.
03/05/2019, 09h46
Philippe Dpt35

Pour info, j'ai trouvé cette page, assez complète et intéressante, sur l'EFI et le problème du secure boot :
http://www.rodsbooks.com/efi-bootloa...ecureboot.html