revocations.efi

или сам BOOTX64.EFI у меня старый

Почти продолжение темы.

Я не совсем понимаю как в PXE-EFI (или НTTP-Boot) сделать загрузку разных дистрибутивов при включенных на компьютерах Secure-Boot?

Это что не возможно?

ЕМНИП загружаемый по PXE бинарь должен быть подписан ключом, который присутствует в самом UEFI на конечных машинах.

Поэтому варианта для загрузки бинаря по сети два:

1) искать бинарь, подписанный общеиспользуемым ключом;
2) собирать свой, подписывать его своим ключом и добавлять этот ключ на каждую машину самому.

С последним будет мноооого геморроя, так как далеко не все системы позволяют это делать беспроблемно из самого UEFI. Ну и вообще, как с любым самоподписанным сертификатом - много головной боли.

Я спрашивал про другое. Вот я сделал в сетке грузить роки-линух по сети и …

Но я уже не могу загружать ни убунту не алму-линукс … т.е. если у меня 2 машины с вкл. сек-бутом то я могу только на обе поставить только роки. Чтобы мне поставить убунту я должен квырять dhcp-сервер и вписывать там загрузчик от убунты я не могу сделать выбор на клиенте при установке.

Я прекрасно понял про что ты спрашивал - и ответил тебе на это. Тебе нужен универсальный загрузчик, который сможет отрисовать меню выбора и сделать chainload в следующий загрузчик нужного тебе дистрибутива, лежащий также на PXE-сервере. Выбор там не очень велик - ipxe, grub2 или pxelinux из известных мне(наверняка есть другие, которые умеют в PXE, но я их не пробовал). Проблема, как я уже упоминал ранее, что они не просто должны уметь работать с PXE, а должны быть подписаны валидным ключом.

У grub2 есть подписанная версия (по ссылке что я прислал в предыдущем комменте она есть), у ipxe официальной подписанной сборки насколько я знаю нет, насчет pxelinux я не в курсе.

Конфиг с отрисовкой меню, ясное дело, придется писать самому (и вот тут grub2 мягко говоря «очень не очень» - конфиг у него слабо предназначен для написания человеком)

Я проводил эксперименты. chainload - требует подписи от предыдущего загрузчика.

Т.е. если я гружу шим от роки то я могу загрузить туда груб только от роки, которому можно указать ядро только от роки.

Я менял в грубе загрузку другого ядра, не грузится.

Ну значит либо задача нерешаемая, либо нужен более другой shim (какой? не подскажу)

Update: на эту тему гуглится выстрел из пушки по воробьям (он же Foreman) - https://forums.rockylinux.org/t/uefi-pxe-boot-multiple-distributions/18453/2

Так там тоже самое написано что я и говорил. С какого загрузчика начнешь только с тем и загрузишься по цепочке …

Кстати насколько я понял чтобы memtest можно было проверить комп с секуре-бутом то нужно загрузится c виндовс efi загрузчиком :(

Ну значит тогда только MOK остаётся :-(

То есть подписывать своими ключами всё и распространять их на машины.