Échec de l'installation de la partition EFI

Support Debian
#1

«La tentative de montage d’un système de fichier vfat de /dev/nvme0n1p1 sur /boot/efi a échoué»

Sans garantie, il me semble avoir désamorcé le «secure boot» dans le BIOS, mais j’avoue ne pas savoir ce qu’un grand nombre de paramètres signifie.

Les 3 premières lignes de configuration de l’écran du BIOS sur la sécurité sont les suivantes:

  • Secure boot database : installed and Locked
  • Secure boot status: Disabled
  • Restore secure boot to factoring setting: disabled

J’ai utilisé le formatage manuel, effacé les anciennes données de cette partition, ainsi que celles de la racine et de la partition /var (toutes sous LVM sauf EFI), et effacé la partition EFI créé préalablement par copie du 1er SSD sur le 2e, et j’ai rendu inutilisable tout ce qui est sur ce 2e SSD.
Les anciennes partition RAID1 sur les 2 SSD ont été remplacées par 2 volumes physiques LVM, encore inutilisées.
Je n’ai pas touché au reste du partitionnement précédent, utilisé avec ses données (sauf racine, /var et /swap)

Où est l’erreur, ou comment l’identifier?

PS j’utilise l’installation par l’mage debian install (bookworm)

#2

Ton secure boot est desactivé donc il n’intervient pas. Ceci dit, il est plus facile d’installer une nouvelle installation sur une machine avec le Secure Boot Actif, que de vouloir l’activer plus tard, la manoeuvre est plus ardue.
Sur une nouvelle installation ça marche tout seul (il faut juste s’assurer que --efi-secure-boot est activé dans le grub-install, et que grub-afi-amd64-signed est installé).

Si c’est via l’installateur c’est que tu as mal fait la partition.
Tu doit paramétrer ta partition /dev/nvme0n1p1 en lui donnant le type partition EFI quand tu la créé et c’est tout. Tu n’y touches plus ensuite.
Tu n’a pas besoin de spécifier le point de montage.

Pour le faire à la main (dans un chroot, ou si tu as quand même réussi à lancer le système):
est ce que tu fais les opérations en root? passe directement en su -.

si /dev/nvme0n1p1 est ta partition /boot/efi:
Pas besoin d’effacer quoi que ce soit si tu n’es pas en multi-boot. Il te suffit de faire:

mkfs.fat /dev/nvme0n1p1
mount -t vfat /dev/nvme0n1p1 /boot/efi

Quelle est la commande que tu utilises pour installer grub-efi?
Normalement:

grub-install --target=x86_64-efi --efi-directory=/boot/efi
  • Tu peux ajouter l’option --force-extra-removable pour pouvoir utiliser une clef bootable ou un DVD.
  • Tu peut ajouter l’option --no-uefi-secure-boot qui n’installera pas d’image utilisable avec UEFI Secure Boot
  • Tu peux ajouter l’option --uefi-secure-boot qui installera une image utilisable avec UEFI Secure Boot, il faut pour ça avoir installé grub-efi-amd64-signed.

N’oublie pas ensuite de vérifier ton /etc/fstab pour qu’il ait bien la ligne:

UUID=<uuid>  /boot/efi       vfat    umask=0077      0       1

Pour trouver l’UUID de ta partition

blkid /dev/nvme0n1p1

Qui te donne:

/dev/nvme0n1p1: UUID="MONUUID" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="EFI" PARTUUID="PARTUUID DE LA PARTITION"

Tu as juste à utiliser UUID="MONUUID" dans ta ligne fstab en début de ligne comme au-dessus.

#3

Bonjour,
merci Zargos,

je n’en suis pas à régler grub, (sinon, comment le fait-on au moment de l’installation?)
L’installeur a lui-même reconnu ou décidé de la partition EFI, et c’est bien ce qui me trouble.

Je vais remettre le secure-boot comme vous le conseillez et voir si je peux ne pas indiquer de monter la partition (mais il me semble que la question ne se posait pas)
Sur le groupe de volume, seules les partitions racine (/) /boot et swap étaient marquées F et les autres marquées K (sauf EFI).

#4

Ouf,
j’ai enfin pu réinstaller bookworm, après moult retours à l’outil de partitionnement.

En voici un bref compte-rendu, non exhaustif.

Le secure boot de cette machine refusait l’accès à la clef USB, j’ai donc remis l’état disabled

L’EFI était en échec car il s’était retrouvé «à l’insu de ma bonne volonté» dans le VG du LVM, ensuite les partitions RAID initiales étaient mystérieusement réapparues (après avoir été supprimé sous debian live), j’ai réglé le problème en donnant le statut de PV à ces 2 partitions, puis en les intégrant dans le VG.

Me reste le problème d’utiliser timeshift sans toucher à l’EFI nouveau, mais j’ai l’impression que ça n’est pas possible.

Sinon refaire tout un tas de réglages, réinstallation de périphériques etc.

Enfin dans mes trop nombreuses tentatives de partitionnement je n’ai pas créé une partition séparée pour /boot comme vous le recommandez. Je pense qu’il sera possible de le faire à la main avant d’y copier le répertoire /boot — avec la difficulté d’y placer l’EFI comme point de montage et non comme simple copie…

Me reste ensuite à copier l’EFI sur le 2e SSD et à créer le miroir des volumes logiques LVM

Encore merci pour votre aide patiente et vos encouragements

#5

Effectivement c’est la seule partition qui ne doit jamais être dans LVM.

Ce n’est pas ce qu’il fallait faire.
Cela signifie qu’avant l’installation, le nettoyage n’était pas bon.
Il faut toujours faire un mdadm --stop /dev/mdX avant de refaire quoi que ce soit.

Si Timeshift te casse tout c’est que timeshift est soit inadapté à l’utilisation que tu en fait, soit mal fait.

Si ensuite cette partie est cassée, il ne reste plus qu’à faire un dd if=/dev/zero of=/dev/mondisque bs=512 count=200 pour être sur qu’il ne reste rien.

#6

Bonjour,
Heureusement, timeshift n’a rien cassé car je ne l’ai pas utilisé, sauf pour récupérer quelques fichiers.

c’est à partir de ça que le système a planté, au redémarrage, après une 1ere expérience (désastreuse?) d’ hibernation.
Il me semble aussi avoir lu que ça pouvait avoir un lien avec EFI ou avec GRUB, mais mes lectures avaient largement dépassé le seuil de flottaison de ma compréhension.
Quant à l’hibernation, j’ai bien compris qu’il faut laisser ça aux marmottes…

#7

ton mdadm a planté quelque chose car tu l’as fait sans avoir pris les précautions nécessaires.
Quand on modifie les partitions, on utilise soit le mode rescue (graphique si possible pour avoir la possibilité de voir l’affichage au delà du nombre de ligne de l’écran), soit un cd live. Personnellement, je trouve le mode rescue plus fiable pour ça, avec un live, entre les problèmes de locale et la difficulté de bien faire un chroot, on a vite fait d’avoir des problèmes. Le véritable avantage du live c’est d’avoir éventuellement accès à Internet pour y chercher des infos.

L’utilisation d’un mode rescue est de pouvoir passer en environnement installateur ou utilisateur; Ça donne plus de souplesse.

Il faut toujours garder en tête la hiérarchie des partitions/filesystem/raid etc…
L’ordre est :

  • RAID
  • CHIFFREMENT
  • LVM
  • FILESYSTEM

RAID est toujours le plus bas niveau. Donc si on modifie un RAID on touche aux niveaux supérieurs.
RAID c’est aussi du partitionnement (RAID logiciel).

Quand on fait une modification des partitions quand le système est actif, on ne touche pas aux partitions bas niveau car il y a un risque de tout casser. C’est tout particulièrement valable avec le RAID.

LVM est un outil qui permet justement de modifier les partitions de façon dynamique.
Mais il faut impérativement garder en tête que toute modification aura un impact sur le système actif à travers ses points de montage. Il faut donc être très méticuleux (quitte à se faire une liste des actions à entreprendre sur une feuille de papier, pour s’assurer qu’on a rien oublié.
Et toujours vérifier:
Penser->définir->agir->vérifier et on recommence.

Après avec LVM, basiquement, pas besoin de mettre la rate au court-bouillon, on met tout dedans sauf /boot/efi.

Et quand on peut, faire des tests de son modèle d’ installation sur une VM ça peut prévenir bien des soucis :slight_smile:

Après, c’est en se trompant qu’on apprend :wink:

#8

Merci encore pour toutes vos leçons,
Dans mon cas je n’avais plus accès au menu, donc au mode rescue.

L’idée d’une VM me trotte dans la tête depuis très longtemps, mais j’avoue ne pas avoir trouvé le guide ou tuto à commencer par identifier le paquet à installer.
Mais ceci est une autre histoire

#9

Si le mode UEFi n’est pas activé avec --force-extra-removable, on a plus l’option de lancer une clef USB par exemple.
Mais normalement on peut toujours le faire à partir du BIOS, d’où il est possible de lancer la partition voulue.

utilise virtualbox, en utilisant les dépôts VirtualBox Oracle (il y a moins de problèmes avec que le dépôt Debian):

Debian-based Linux distributions

Add the following line to your /etc/apt/sources.list. For Debian 11 and older, replace '<mydist>' with 'bullseye', 'buster', or 'stretch'. For Ubuntu 22.04 and older, 'replace '<mydist>' with 'jammy', 'eoan', 'bionic', 'xenial',

deb [arch=amd64 signed-by=/usr/share/keyrings/oracle-virtualbox-2016.gpg] https://download.virtualbox.org/virtualbox/debian <mydist> contrib

The Oracle public key for verifying the signatures can be downloaded here. You can add these keys with

sudo gpg --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg --dearmor oracle_vbox_2016.asc

or combine downloading and registering:

wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc | sudo gpg --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg --dearmor

The key fingerprint for oracle_vbox_2016.asc is

B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
Oracle Corporation (VirtualBox archive signing key) <info@virtualbox.org>

To install VirtualBox, do

sudo apt-get update
sudo apt-get install virtualbox-7.1

la version actuelle est 7.1.

#10

merci, OK pour virtualbox.
Bon dimanche

1 J'aime
#11

Idem :slight_smile: