Не работает Fedora на UEFI

Fedora отлично устанавливается на UEFI, правда на некоторых нужно отключать Secure Boot. Но если записана правильно, а Ventoy не входит в число одобренных способов записи.

У тебя она с Ventoy загрузилась и установилась в BIOS режиме, очевидно.

На Windows нужно писать на флешку через Fedora Media Writer: https://getfedora.org/fmw/FedoraMediaWriter-win32-latest.exe

На Linux через dd: https://docs.fedoraproject.org/en-US/quick-docs/creating-and-using-a-live-installation-image/#_using_a_direct_write_method

Так же я ставил через balenaEtcher, тоже самое. Secure Boot у меня всегда отключен

• Или оба этих не рекомендованных способа записи создают загрузочные носители, что не умеют работать с UEFI, только с BIOS…
• или у тебя в UEFI загрузка с флешек в режиме совместимости с BIOS выше в приоритете, чем в режиме UEFI…
• или ты сам по ошибке руками в режиме совместимости с BIOS их грузишь.

Короче, запиши образ официальным методом и внимательно проверь, в каком режиме его грузишь.

https://ask.fedoraproject.org/t/f37-install-media-dont-boot-in-uefi-mode-on-certain-motherboards/28364

Там советуют shim, а он нужен только для обхода включенного Secure Boot — ТС писал, что он выключен.

Он всегда устанавливается и используется, даже при отключённом Secure Boot.

Да, просто весь его смысл в том, чтобы обходить защиту SecureBoot через утекший в сеть ключ Microsoft. Если эта защита не включена, то и обходить нечего.

Очень смешно слышать такие слова от, казалось бы, профессионала.

Эм… я погуглил — вроде правду сказал. Он нужен только в том случае, если UEFI проверяет подпись, потом он запускает обычный загрузчик.

shim подписан Microsoft, совершенно официально.

И это не обход, а полноценная реализация Secure Boot.

Ну окей, не утекшей, а официально. Хотя она вроде на тот момент утекла.

не обход, а полноценная реализация Secure Boot

Весь смысл SB — это чтобы нельзя было загрузить недоверенные ОС. А тут кто угодно может скачать shim и загрузиться. Я это называю обходом.

Это как поставить на двери замок, а потом раздавать ключи всем подряд, да ещё и копирование разрешать.

И да, я понимаю, почему так сделали. Иначе пользоваться было бы многими устройствами нельзя.

Механизм Secure Boot по моему мнению по умолчанию должен быть выключен, и включаться только вручную с генерацией ключей и подписью ОС владельцем устройства.

А «ключи по умолчанию» не имеют смысла в плане безопасности, зато добавляют головной боли.

А тут кто угодно может скачать shim и загрузиться.

Нет. Обысный загрузчик, т.е. ядро, тоже долно быть подписано ключом из shim или db или mok.

Но ведь это общедоступный ключ, так? То есть раздобыть его не проблема. А если и проблема, зачем злоумышленнику менять ядро, когда есть столько готовых? Весь вредоносный функционал можно запускать на обычном готовом Linux.

Но ведь это общедоступный ключ, так?

Который? Ключи, встроенные в шим? Нет, приватные ключи хранятся владельцами, в случае утечки оперативно отзываются. Раздобыть нереально, проще свою сборку шим у MS подписать.

Свой софт можно загрузить, используюя MOK. Это стандартный механизм. Он по непонятной причине не реализован в винде и это – проблема.

Я нагуглил для вас: https://uefi.org/sites/default/files/resources/S2_ChainOfTrust_UEFILinuxCon_FINAL_Aug.%2021.pdf

В федоре есть отличная документация по тому как работает секурбут и как он связан с kernel module signing, как прописать свои ключи в MOK и когда это нужно и много еще всего по этой теме

А что скажите в общем про дистр Fedora? Стоит ли вообще его пробовать ставить ещё раз? До этого стоял Arch, чего-то постоянно не хватало,может я сам себе проблемы просто делаю)

А что скажите в общем про дистр Fedora?

Использую много лет - полет нормальный! Единственно - я через версию обновляюсь, т.е. сейчас на 36 сижу.