proyecto para documentar el arranque de openSUSE

Hola!!

El arranque en los sistemas modernos es bastante más complejo de lo esperable. Si bien el grueso de instalaciones de openSUSE no tienen problema con esto, lo cierto es que tampoco se escapa.

Y por supuesto, cuando hay un Windows por medio ya qué os cuento lol!

En la wiki entre otras cosas tenemos esto: https://es.opensuse.org/SDB:Instalar_openSUSE_con_UEFI_y_Arranque_seguro , pero como veis está bastante desfasado. La idea es que echéis una mano aportando cosas (comentarios, capturas)(ver nota 1).

En mi opinión, habría que cubrir en qué casos es buena idea usar “legacy” y en cuáles es mejor usar “UEFI” e incluso “secure boot” (en mi opinión, sólo se justifica usar Legacy cuando algún sistema operativo preexistente ha sido instalado así). También habría que cubrir cómo se configura eso y cómo saber qué modo se está usando para arrancar por defecto. Una forma podría seguir un esquema como éste:

  1. Legacy vs UEFI.
  2. Ejemplos de configuración Legacy.
  3. Ejemplos de configuración UEFI+secure boot.
  4. Entender cómo arranca el sistema instalado.

En mi opinión eso cubriría todo pero se necesitarían varias capturas de ejemplo, particularmente de portátiles, pero también de equipos de escritorio, para ver las diversas formas de configurar tanto los modos legacy, UEFI, legacy+UEFI, como respecto a la forma de establecer el orden de arranque.

No es problema que pongáis texto aquí para que lo copie yo u otro a la wiki, o que lo escribáis allí aunque no uséis plantilla y apenas formato. De todas formas, ni siquiera está decidida una forma de llamarle a la página o páginas y eso podría ser una buena primera cosa a decidir (una página para todo? una para cada punto? sugerencias?).

Por supuesto, sería guay si alguien pudiera aportar alguna experiencia instalando openSUSE en un Mac. Y aunque hable de doble (o triple o más) arranque, también atañe a instalaciones de openSUSE en solitario.

Sin más, mi agradecimiento a quien decida participar en esto, incluso si solamente aporta algunas capturas de su BIOS.

Salud!!

nota 1: en la wiki se espera que las capturas de openSUSE sigan el estándar (tema) openSUSE, pero tanto las ventanas activas de YaST solemos tenerlas en su tema por defecto como si aportáis alguna de la BIOS pues será para cada equipo de una forma diferente.

Hola:

Ni me lo pienso, volver a la página cero del hd (512 =registros+arranque) y solo 4 primarias, de eso ya se me van las ganas, ademas uefi, no solo lee registros, si no que lee FS .

Para él arranque , veo vídeos de openQA, se adjuntan con las pruebas y se pueden bajar y copiar una instantánea de las imágenes (VLC lo reproduce muy bien, lo mismo que el propio reproductor de openQA) . (video o.gg de unos 13,7Mb, este es de pruebas de raid)

Por cierto el de la 15.4 está como OpenSUSE Leap 15.0 (por si vas a buscar, por ahí, ademas hace unos días, salio una buena iso con muy pocos errores, ejemplo la build 208.2 paso la prueba con 197 oks , (24 fallos de soft, y 41 y alguno sin terminar) Teniendo en cuenta que son varias arquitecturas .

Mira si te vale algo de ahí (en cuanto a uefi, no se si iban por la 2.7, pero son muchas paginas del pdf ) .

El arranque, para las cpus con muchos núcleos systemd, va rápido (mucho mas que si fuese SySvn) ., lo que veo falta de depuración y al menos unificar, las cosas mas importantes (hay muchos servicios donde elegir, ejemplo de ello tienes a wiked y networkmanager ) .

Saludos cordiales

Hola mikrios!

Gracias por participar. La idea no es exactamente documentar el proceso de arranque, sino describir de forma amplia cómo realizar ese proceso en equipos reales.

Veamos.

En las viejas BIOS podías establecer le orden de arranque de los distintos dispositivos, y en algunos casos tenías que ordenar apropiadamente los discos duros (p. ej. incluyendo USB) para que el “arranque de disco” fuera exactamente lo que tú querías. Otras BIOS eran más simples y tenías todos los dispositivos en lista, y en agunas incluso había cosas que simplemente no podías hacer. Describir cómo arrancar un DVD para instalar openSUSE es, en esos entornos, sencillo.

Supongamos dos discos (SSD en sda, HDD en sdb) en el que hay instalado un Windows 10 que es una actualización de un Windows 7 u 8.

Desde el punto de vista de la BIOS hay dos dispositivos arrancables, pero si tienes la compatibilidad que muchas veces (no siempre) se llama Legacy, eso te da 4 posibilidades: sda UEFI, sda legacy, sdb UEFI, sdb Legacy.

Existen muchas posibilidades de que un Windows 7 u 8 hayan sido instalados como legacy. Entonces sda tiene al menos dos particiones: una pequeña y oculta para el propio Windows con el arranque, y una general con el sistema Windows instalado. Aunque actualices a Windows 10, conservarás el arranque.

O puede que Windows haya sido instalado como UEFI. En ese caso habrá una partición EFI además de las dos anteriores. Al arrancar en sda UEFI se cargará el arranque desde esa partición EFI.

Tengo un montón de imágenes de Windows 7 y Windows 8 que no pueden arrancar si seleccionas UEFI para cargar el DVD o USB de instalación. Aquí es donde hay que aclarar que si arrancas un sistema operativo como UEFI se instalará como UEFI y si lo arrancas en modo legacy lo instalará como legacy.

El punto de instalar openSUSE es que también instala el sistema tal cual lo arranques, y el mismo medio de instalación soporta ambas formas. Si tú cargas el DVD/USB como DVD UEFI ó USB UEFI te instalará el sistema como UEFI, mientras que si lo cargas como Legacy, lo instalará como legacy.

Es importante porque no hay ninguna razón que impida que tengas uno instalado de una forma y otro instalado de otra, sobre todo si están en distintos discos. Y sí, openSUSE en modo legacy puede usar particiones GPT desde hace años.

Un detalle importante del sistema UEFI es el hecho de que la BIOS arranca directamente las particiones EFI disponibles. Puedes, por ejemplo, tener una partición EFI para Windows y otra para openSUSE y utilizar el menú de arraque de la BIOS (p.ej. F9 ó F12) para elegir qué sistema arrancar. Las particiones EFI ni siquiera tienen por qué estar en distintos discos, pueden perfectamente estar en uno sólo.

Esto es todo el meollo. Secure boot es una parida que simplemente tiene una cadena para verificar una firma aprobada de alguna forma por Microsoft. Se desaconseja usar Secure Boot si no puedes garantizar qué la distribución de turno a instalar tenga esa firma, pero eso no es el caso de openSUSE, así que realmente no hay ninguna necesidad de desactivarlo.

El objetivo de este hilo no es soltar este rollo en un documento, que es muy fácil de entender si ya sabes de qué va, y un auténtico galimatías en caso contrario, sino proporcionar un documento de ayuda para esta cuestión. Y para eso hay que hacer dos cosas.

  • Debatir una recomendación unívoca (UEFI vs Legacy, Secure Boot sí o no).
  • Proporcionar algún ejemplo concreto de alguna BIOS concreta respecto a cómo se configura lo anterior. Cuantos más ejemplos, mejor.

Y ya si tenemos algún ejemplo de arranque doble concreto mejor que mejor.

Salud!!

Hola:

Tienes razón es una galimatías , y hay que tener en mente la historia de como han ido pasando las cosas (o por lo menos separar una de otras )

Efi era lo que había antes, después se unifico (creo que entraron $ y phoenix) y actualmente para abreviar se le vuelve a llamar efi (los significados están por la wiki) . En si son normas, especificaciones, acuerdos o convencionales , Si no se llega a eso cada uno hace lo que quiera, aún así se a interpretado o cambiado sin tener en cuenta esas normas .
Una de ellas es el arranque seguro, (que es de uefi o actualmente de efi) , La causa la sabemos casi todos y uno de los mas perjudicados a sido, $, ahora bien la firma por parte del soft, también ha tenido que ser comprada por $ a otra empresa (según tengo entendido) .

El arranque en uefi, puede estar en cualquier lugar (como lee también FS, sobre todo las /boot/efi) , ahora bien el administrador de arranque,controladores, las utilidades , o programas para la ayuda del arranque, tiene que estar en una partición con sistema de archivos compatible con fat12, 16 y 32, no sirve exfat ni ntfs) y ojo que mantiene la compatibilidad con mbr así que las posibilidades quedan a un sistema de particionado de mbr y gpt : da ahí ya tu sabes, mbr pagina cero 512bytes de los cuales hay que restar 4 de 16bytes cada uno y 2 de 8 bytes cada uno y los 442 que sobran van para el arranque ( los bytes informan de nº particiones, tipo, la activa, etc…) , bien ahí es donde se ramifica en cierta forma mbr y uefi en el arranque del pc .
(sobre gpt, pues no hace mucha falta hablar, me supongo que te acordaras, cuando vinieron discos mayores de 2,2Teras, aún creo que no había uefi, y no recuerdo si en algunos era una actualización en la bios otros alguna utilidad, en mis equipos tuve que recurrir a crear varias particiones, para aprovechar el disco) , en win creo que era posible usar gpt desde la versión vista, (las posibilidades, pues mayor de 2,2 teras, mas de 120 y pico primarias, creo que para win son 128, formato avanzado, redundancia en las tablas, etc…) .

El arranque, en aquella época, (por lo menos los que teníamos que apretarnos los bolsillos, era un cloníco de ibm) se configuraba en bios, si tenía que arrancar con disquetes de 720 o 1,44Mb, tenias que cambiar el orden, después vinieron los cd, y lo mismo, mas tarde se podía fijar otro posible arranque 1dispositivo disco C, segundo cd, 3 etc… si fallaba uno iba al siguiente, y si cambiaba el orden. El cable conectaba por pata dos dispositivos, se tenía que configurar con los jumper.

En esas cosas, solía haber cambios, por ejemplo ya había una protección en la bios, que tenias que des activar cuando instalabas un sistema operativo . (no era un arranque seguro, pero evitaba que se instalara un virus, al proteger cierta zona, creo que la escritura al mbr ) .

El que uno vea los dispositivos dobles (con uefi y sin uefi, es 1ªpor el modo CSM 2º por el menú de arranque uefi) , ahora bien, si lo haces en uefi, ya después no puedes arrancar en mbr , incluso uno en uefi y otro en mbr, en el arranque que recuerde no se veían entre si , en otros equipos no tienes CSM o bien todo uefi o todo mbr, la elección posible creo que la del menú de arranque de uefi (en Asus la F8) . (cosa que no he probado, hacerlo por el menú de arranque de uefi, pero con dejar un dvd dentro se puede probar) .

El dejar el equipo en UEFI, y arranque seguro, juegas con la base de datos de la bios (firmware) y la del sistema operativo (a veces había problemas con la mok, creo que es la del fabricante) . en la bios tienes 2 posibilidades $ u otro S.O. , pero eso le da igual a $, el pondrá su arranque seguro según le convenga (por lo menos en una asus así lo hizo) .

Si la activas la protección, la posibilidad de probar un sistema sea o no live, creo que la pierdes y el tenerla activa, puede salvar a uno de un malware .

Legacy rom , sería volver al pasado, aún la mas actual, sera de hace muchos años , por lo pronto uefi (EFI) , para ir acorde al nuevo hard y si el equipo es dedicado para algo, arranque seguro activo (se arriesga mucho, si se produce una avería por un fallo de ese tipo, ejemplo un servidor de satélite) .

Las capturas de la bios, actualmente son fáciles, pones un usb y pulsas F12 en asus y te crea una copia de la pantalla en formato bmp, ademas creo que enumerada, si hay varias .

Los arranques siguen la secuencia normal , en vez de ser puertos serie o tipo PS/2, pues son usb , (lo del principio se mantiene, memoria, cpu, gráfica, teclado, ratón, reloj, etc… hace una pausa y comprueba geometría disco (página cero) si es mbr va a el disco de arranque y si es uefi hace lo mismo, después de esa pausa carga el resto de la bios . (en mbr tiene que ir a la partición activa, no necesariamente tiene que arrancar de los 442 bytes que quedan de la pagina cero del mbr , si no que lo hace en el disco y mas si es en linux) y si es uefi lo hará donde esté el /boot/efi .

Según tenia entendido y estudie al principio es que cada sistema, debe tener su propia partición de utilidades y su propio arranque (eso da posibilidad de arrancar cualquier sistema operativo, en cambio si se comparten, falla uno pierdes dos . Pero Según he visto, mientras haya una gpt (efi sistema partición o ESP) , si es posible un /boot/EFI/grub/ y un /boot/EFI/Gentoo , etc… /boot/EFI/$ microsoft , cosa que suelo evitar y hago el sistema de forma manual (lo que me fastidia es que ademas de que se meta en linux, comparta la partición de ayuda del arranque , utilidades, etc (la que va en fat12,16,32) (quizás ese día win10 se metió ahí porque la hice en fat32, si hubiese dejado que la hiciese en fat16 como hace por defecto, a lo mejor no hubiese hecho eso) .

En cuanto los dispositivos de arranque , creo que muestra los candidatos, pero no con ello implica que pueda hacerlo, ejemplo lo de red, pueden ser, pero la opción de bios, la tengo desactivada, otros pueden tener las flags activas, pero nada instalado (un pendrive con opción boot y esp) .

Un ejemplo puede ser lo del comando efibootmgr :


**mikrios:~ #** efibootmgr       
BootCurrent: 0000 
Timeout: 2 seconds 
BootOrder: 0000,0002,0099,00A5,0075,0076,0077,0078,0063,0064,0065,0068,0069,0070,0071,007A,0080,0088,0089,00A1,00A2,00A3,00A4,0062,00
A6,009E,00A7,009D,00A8 
Boot0000* opensuse 
Boot0002* Linux 
Boot0062* HL-DT-ST BD-RE  BH16NS40 
Boot0063* WDS100T3X0C-00SJG0 
Boot0064* WDS100T3X0C-00SJG0 
Boot0065* WD_BLACK SN850 Heatsink 1TB 
Boot0068* WDC WD2005FBYZ-01YCBB3 
Boot0069* WDC WD2005FBYZ-01YCBB3 
Boot0070* WDC WD2003FZEX-00SRLA0 
Boot0071* WDC WD6003FRYZ-01F0DB0 
Boot0075* UEFI: PXE IPv4 Asus Aquantia AQC111C 5GbE connection 
Boot0076* UEFI: PXE IPv6 Asus Aquantia AQC111C 5GbE connection 
Boot0077* UEFI: PXE IPv4 Intel(R) Ethernet Connection (2) I219-V 
Boot0078* UEFI: PXE IPv6 Intel(R) Ethernet Connection (2) I219-V 
Boot007A* WD_BLACK SN850 Heatsink 1TB 
Boot0080* WDS100T3X0C-00SJG0 
Boot0088* WDC WD1002FAEX-00Z3A0 
Boot0089* WDC WD60EFRX-68L0BN1 
Boot0099* opensuse 
Boot009D* KingstonSNA-DC/U 1.08 
Boot009E* UEFI OS 
Boot00A1* WDS100T1X0E-00AFY0 
Boot00A2* WDS100T1X0E-00AFY0 
Boot00A3* WDC WDS100T2B0C-00PXH0 
Boot00A4* WDC WD140EFGX-68B0GN0 
Boot00A5* UEFI: TSSTcorpCDDVDW SE-208GB TS00 
Boot00A6* TSSTcorpCDDVDW SE-208GB TS00 
Boot00A7* UEFI: TOSHIBA TransMemory 1.00, Partition 1 
Boot00A8* TOSHIBA TransMemory 1.00 
Boot00AA  WDS500G2X0C-00L350 
Boot00AB  WDS500G2X0C-00L350 
Boot00AC  WDS500G2X0C-00L350

efibootmgr, suele dar mas info con la opción -v , pero muestra las mac tanto en ipv4 , como ipv6 de las tarjetas de red, lo que si da los discos que tienen el arranque, los muestra como
[FONT=monospace]/File(\EFI\OPENSUSE\GRUBX64.EFI

Las capturas de la bios, suelen ser grandes, me supongo que hay que pasar las a svg? (no creo que haya problema a png u otro formato) .

Saludos cordiales .

PD. ya está disponible la versión 2.9 de las especificaciones de uefi en la uefi.org (con la 2.7 me dio jaqueca, pero tengo curiosidad por lo que ha cambiado) .

[/FONT]

Ok, nunca es tarde si la dicha es buena. Ahí va.

Artículos:
SDB:El Arranque del sistema En proceso
openSUSE:UEFI lista
openSUSE:BIOS pendiente
SDB:Arranque de medios extraíbles pendiente
SDB:CSM pendiente

Artículos a reciclar o actualizar:
SDB:Instalar openSUSE con UEFI y Arranque seguro

Recursos:
{{Barra de navegación para arranque}}

¿Alguna sugerencia?

Hola compis.

Todo este tinglado esta orientado a como esta configurada la BIOS de nuestro dispositivo, si UEFI o Legacy o una combinación de ambos, si existe esa combinación como veréis en la imagen que adjunto abajo, es decir, se puede instalar un sistema mixto UEFI y LEGACY que convivirán perfectamente si sabes hacerlo.

Es la BIOS de mi placa base MSI B450 Tomahawk Max, en la linea de rojo aparece una opción: LEGADO + UEFI (LEGADO es LEGACY en ingles), la otra opción es UEFI

¿Cómo sabe el instalador de Windows o de cualquier distribución GNU/Linux si debe instalar UEFI o no?
Muy fácil, si el disco duro esta virginal, es decir, sin particionar, te recomendara instalar UEFI en una instalación guiada por el programa instalador. Esa instalación guiada creara una tabla de particiones GPT en el disco duro con una partición oculta tipo FAT32 de un mínimo de 200 MB para el soporte de EFI que en teoría puede tener 128 entradas y te creara una partición para instalar el sistema operativo (SO) y, si quieres, otra partición con los Datos (D:) o el /home.

Pero si el instalador se encuentra con un disco ya particionado, entonces el instalador detectara que tipo de particiones tiene dicho disco duro y según la tabla que detecte:

  • GPT: instalara el SO en modo UEFI, creado una entrada en la partición oculta EFI y una o dos particiones en el disco duro si hay espacio de sobra, sino te obligara a redimensionar las particiones, para instalar el SO y, si quieres , el /home o Datos aparte.
  • MBR: la instalación no será UEFI, te creara una o dos particiones en el disco duro si hay espacio de sobra, sino te obligara a redimensionar las particiones, para instalar el SO y, si quieres , el /home o Datos aparte. Pero, siempre hay un pero, al final modificara el primer sector del disco duro que es de arranque para instalar Grub2 en caso de GNU/Linux o el de Windows, en ese pequeño sector Grub2 o similar puede poner entradas de otros SO instalados para ser seleccionados y arrancarlos desde ahí.

En la imagen de abajo donde Disco 1, se ve una pequeña partición llamada “Reservado para el sistema”, esa partición la crea Windows para instala unos archivos esenciales para que arranque su SO instalado en una partición y tiene mucho que ver con MBR, es una peculiaridad de Windows 10 u 11. Recuerda que si se instala un SO UEFI os creara una partición oculta tipo EFI que Windows la reconocerá y la llamara “Partición del Sistema EFI” que no tiene nada que ver con esa partición llamada “Reservado para el sistema”.

Ahora viene la sorpresa como veras más adelante, el Disco 0 su tabla de particiones es de tipo GPT, si GPT. Pero no tiene ningún sistema instalado por lo tanto no tiene una particion oculta tipo EFI, todo es para almacenaje: Datos y /home y memoria virtual swap para GNU/Linux.

Así lo ve el particionador de Yast, en el centro en la columna Dispositivo solo tenéis que saber que donde pone /dev/sda es el Disco 1 de la imagen de arriba y donde pone /dev/sdb es el Disco 0.

Vamos a ver que nos devuelve el comando fdisk sobre los dos discos de la imagen de arriba.
Recuerda que las particiones sdbX son las de Disco 0 y las particiones sdaX son las de Disco 1

sudo fdisk -l
[sudo] contraseña para root: 
Disco /dev/sdb: 931,51 GiB, 1000204886016 bytes, 1953525168 sectores
Modelo de disco: ST31000528AS    
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 512 bytes
Tamaño de E/S (mínimo/óptimo): 512 bytes / 512 bytes
Tipo de etiqueta de disco: gpt
Identificador del disco: 7C4EB5EC-99F7-4032-8CC1-9BD4F9D3059D

Disposit.   Comienzo      Final  Sectores Tamaño Tipo
/dev/sdb1       2048  976764927 976762880 465,8G Datos básicos de Microsoft
/dev/sdb2  976764928  985153535   8388608     4G Linux swap
/dev/sdb3  985153536 1953523711 968370176 461,8G Sistema de ficheros de Linux


Disco /dev/sda: 465,76 GiB, 500107862016 bytes, 976773168 sectores
Modelo de disco: CT500MX500SSD1  
Unidades: sectores de 1 * 512 = 512 bytes
Tamaño de sector (lógico/físico): 512 bytes / 512 bytes
Tamaño de E/S (mínimo/óptimo): 512 bytes / 512 bytes
Tipo de etiqueta de disco: dos
Identificador del disco: 0x99c1a459

Disposit.  Inicio  Comienzo     Final  Sectores Tamaño Id Tipo
/dev/sda1  *           2048   1187839   1185792   579M  7 HPFS/NTFS/exFAT
/dev/sda2           1187840 651712511 650524672 310,2G  7 HPFS/NTFS/exFAT
/dev/sda3         651712512 976769023 325056512   155G 83 Linux

Presta atención solo a dos frases de la salida de arriba:
En la primera parte donde sale la tabla de particiones de sdbX pone un texto “Tipo de etiqueta de disco: gpt” , eso quiere decir que es un disco duro con la tabla de particiones GPT, listo para instalar un SO UEFI.
En la segunda parte donde sale la tabla de particiones de sdaX pone “Tipo de etiqueta de disco: dos” , eso quiere decir que es un disco duro con la tabla de particiones MBR, es decir, no se puede instalar SO UEFI.

En la salida de arriba aparece una cosa muy curiosa, en la segunda parte donde sale la tabla de particiones de sdaX hay una columna de mas llamada Inicio y en una de sus filas aparece un asterisco ‘*’, ese asterisco nos indica cual es la partición de arranque donde esta alojado el sistema operativo que por defecto arrancar si el programa Grub2 o similar no esta instalado en primer sector del Disco 1 o sda. Todo esto ultimo es propio del funcionamiento de las BIOS Legacy.

Disposit.  Inicio  Comienzo     Final  Sectores Tamaño Id Tipo
/dev/sda1  *           2048   1187839   1185792   579M  7 HPFS/NTFS/exFAT
.....

Sobre Secure Boot, lo explicare en otro mensaje cuando me levante con humor y ganas.

Bueno, os dejo. Si tenéis dudas, citar la parte que no entendáis y lo explico.

1 Like

Bueno, o ha cambiado mucho estos últimos meses -lo que no sería tampoco extraño- o esto es una licencia para introducir el resto del artículo. A veces se producen mezclas y alguna vez he visto que lo hacía un Windows con un openSUSE. Incluso diría que si arrancas en modo EFI te pone una instalación con grub-EFI sin preguntar salvo que ya tengas el disco en MBR. Y sí, yo usé GPT en discos de equipos que no tenían UEFI ya hace tiempo.

Pero entiendo que la idea general es esa que comentas. Lo guay de la instalación de openSUSE es que te pone por escrito qué va a hacer. Lo malo de la instalación supersencilla de Mint y tantos otros sistemas con Calamaris y similares es que evitan indicar “estas cuestiones complejas que pueden asustar a los usuarios”(1)

La BIOS utilizaba un procedimiento sencillo para arrancar discos: o se instalaba un cargador de arranque en el primer sector del MBR o se instalaba el cargador de arranque en el primer sector de la partición que se marcaba como “iniciable”. La configuración básica de Windows era instalar un código genérico en el MBR que simplemente cargaba el primer sector de la partición de arranque (la marcada como iniciable) que era donde estaba su cargador de arranque.

Grub 2 tampoco se instala por completo donde va el cargador de arranque.

De hecho, en los primeros tiempos si lo instalabas en el MBR, realmente ocupaba un poco más que el primer sector. Si os fijáis en las salidas del comando fdisk en ambas la primera partición es algo así:

Disposit.   Comienzo      Final  Sectores Tamaño Tipo
/dev/sdb1       2048  976764927 976762880 465,8G Datos básicos

Fijaos que comienzo lo pone en 2048 en los dos discos. Entonces la pregunta es ¿qué hay entre 1 y 2047? Pues se reserva para que o bien el MBR o bien la tabla GPT pueda extenderse un poquito más allá del principio si es necesario.

Grub 2 se instala en el sistema, como una aplicación de sistema más, y para poder ejecutarse correctamente como cargador de arranque debe poder acceder a esa partición. En caso de que por lo que sea dicha partición no esté disponible aún podría realizarse un arranque manual, pero sin su configuración, sin poder autodetectar sistemas instalados, etc.

Guay, así lo puedo reciclar para el de la wiki :wink: y puedo intentar echarle un vistazo a la cosa esta del TPM.

(1) aunque en mi opinión nada asusta tanto a una persona usuaria como que reinicie el sistema y no arranque su Windows, o peor, que no vea ni rastro del Linux que acaba de poner…

Por si alguien tiene curiosidad del equivalente del comando fdisk para de Windows, es DISKPART

DISKPART> list disk

  Núm Disco  Estado      Tamaño   Disp     Din  Gpt
  ---------- ----------  -------  -------  ---  ---
  Disco 0    En línea        931 GB      0 B     *
  Disco 1    En línea        465 GB   1024 KB

Bueno, en la parte que me citas hablaba de la peculiaridad de Windows de hacer una partición oculta en un disco MBR en una instalacion NO EFI. Y tu me comentas sobre el Grub2, sin citar la parte que hablo sobre Grub2; en ese caso te doy la razón sobre la aclaración que indicas.

Ya sabes que en mis guías casi siempre simplifico las cosas para que el usuario aprenda y si quiere saber mas que se vaya a la Wikipedia. :upside_down_face:

Es cierto, que hay bastantes distribuciones GNU/Linux que tiene una ISO para una instalación UEFI, otra ISO para una instalacion LEGACY, otras distribuciones como openSUSE, Ubuntu,… tienen ISOs hibridas o mixtas que vale para ambos tipos de instalaciones. Vamos, que todo se reduce al programa instalador presente en la ISO y propio de la distribución.

No se si te has fijado en la foto de mi BIOS, abajo te la vuelvo a poner.
Hay una parte muy curiosa: el orden de los iconos de dispositivos de almacenamiento que aparece arriba debajo de Boot Priority es el mismo del listado de abajo donde “Fija las prioridades de orden de arranque”.
En las opciones #7 y #8 aparecen los nombres de mi disco duro SSD, el Disco 1 y /dev/sda, y de mi grabadora de DVD respectivamente. Pero las 6 opciones anteriores tiene algo en común, aparece la palabra UEFI y no tengo ningún dispositivo UEFI.
Eso significa que ese tipo de BIOS acepta instalaciones mixtas o hibridas, UEFI y LEGACY y puede convivir perfectamente ambos tipos en una computadora.

Sobre Secure Boot, te dejo las fotos asociadas a ello.

Tengo la BIOS en modo CSM que es un emulador de las antiguas BIOS, necesario para hacer instalaciones en modo LEGACY. Ahi tengo que cambiarlo a UEFI para Secure Boot

Aquí la opción Secure Boot esta deshabilitada, hay que habilitarla para tener Secure Boot.

Aquí te dejo un video de como hacerlo con una placa base muy similar a la mía, las opciones son las mismas.

PD: El programa responsable de la obtención de las claves privadas de openSUSE y de cualquier distribución GNU/Linux que soporte Secure Boot durante la instalación se llama shim.

Ahora vamos hablar de una tecnología que no tiene nada que ver con Secure Boot, que es el cifrado del disco duro, la autentificación del hardware y la integridad de nuestra computadora cuyo responsable es un chip de hardware integrado en nuestra placa base o que se puede poner como modulo en la placa base. Esa tecnología se llama TPM 2.0.

Aquí tenéis el modulo TPM 2.0 con el chip de hardware para algunas placas bases de MSI que no viene integrado dicho chip, mi placa base lo tiene integrado:

https://es.msi.com/Motherboard/TPM-20-Module

En la Wikipedia en ingles tenéis una completa información sobre el funcionamiento de TPM

Tenéis que mirar si en vuestra placa base viene integrado o no ese chip. Os aconsejo de que si no usáis Windows 11 os olvidéis de él. No es necesario tenerlo para disfrutar de nuestro openSUSE; de momento, igual en un futuro cambia las tornas.

Recuerda TPM 2.0 no tiene nada que ver con Secure Boot.

Gracias por los comentarios y las imágenes.

Es un punto, no puedo aclarar de por qué se hace así en Windows, pero era por aclarar que no es tan raro, que hace mucho que los cargadores tienen que hacer más cosas de lo que hacían “en tiempos”. En Linux, Grub y Grub 2 son muchísimo más complejos que LILO.

Por eso tus guías siempre han tenido más éxito que las mías, bueno, y el estilo, que también es mejor.

Hasta donde sé y si no ha cambiado en alguna actualización, en realidad Windows 11 no requiere TPM -pero no deja de ser un “apaño”. openSUSE no lo necesita y no lo requiere, así que no es necesario ningún apaño.

¿Por qué todo este ruido entonces? TPM permite cifrar todo el disco con un mismo sistema de autentificación. ¿Recordáis lo que he dicho de Grub que necesitaba acceder a la partición del sistema? eso significa que para cargar el menú del grub necesitas la clave con la que está cifrada la partición. Si además tienes cifrada la swap, tendrás que volver a ponerla, etc. Hace tiempo que no uso LVM (gestión de volúmenes lógicos) y no sé si permitiría soslayar este inconveniente.

Pero cuando arrancas un móvil, en un momento tú pones la clave o la huella dactilar o la imagen de retina o lo que sea, y ya. La idea es que TPM permita algo así. Hablo en subjuntivo porque no he probado las afirmaciones sobre esto :grinning:

Aeon incluye soporte completo para TPM. La idea es que MicroOS y Tumbleweed (y Kalpa!) lo sigan, y aquí vuelve a complicarse el asunto. En principio, para usar TPM tienes que usar systemd-boot como cargador de arranque. Y en la guía rápida para el Cifrado completo con TPM y YasT2 se indica cómo cambiar grub por systemd-boot.

Pero systemd-boot aun está un tanto verde, así que ahora también tenemos Grub 2 con BLS. En fin :grinning:

Entonces la idea es usar TPM en tus portátiles y dispositivos portátiles para poder habilitar la encriptación de disco completo. Richard Brown incluso sugiere que en sistemas como Aeon podría utilizarse esto para eliminar la gestión de usuarios ya que se trata de equipos que normalmente solo usa la misma persona, pero que yo sepa no se ha tomado esa decisión.

Supuestamente es más difícil que alguien se lleve tu PC de escritorio, pero el portátil pueden robártelo en cualquier lugar o puedes incluso extraviarlo tú. Cifrar todo el disco permite salvaguardar al menos la información que allí tengas, en particular la información privada de terceros, claves que tengas guardadas, etc.

1 Like

Hola:
Lo normales que una empresa ponga un portátil , a cada trabajador (a mi fue uno, mas un movil, etc) .
Pero hay gente que usa el mismo, pero con distintas cuentas, o bien tener distintas cuentas, para distintos trabajos o proyectos, creo que sea cual sea la manera, la gestión, de usuario, cambiar claves cada cierto tiempo, etc. es algo, que por lo menos , la gestión informática, de la empresa, tenía impuesto a cada trabajador ( si lo quitan , que lo sustituyan por algo mas simple) .

La M.B. (blaca base) , antes venían con conector para tpm, en las actuales no me he fijado, pero creo no haberlas visto; Bien si incluyen favoritos, notas, base de datos de las keys, perfiles de configuración de usuario, bien pueden incluir el sistema de encriptado en la bios, en vez de vender hardware aparte (como vroc, etc) .
Gigabyte, con amd, creo que no tiene es forma de obrar (creo que pueda hacer un vroc , sin necesidad de algunos dispositivos.
Creo que una de las isos, incluye la encryp… en la instalación y si no elegirla a particionar, lo mismo tener otra opción de generar una cache , en el inicio, al particionar (algo que se incluye en yast, en el particionador, así se programa uno mejor el espacio del disco duro, desde el inicio y no después finalizado la instalación, excepto que se añada algo nuevo, en resumen organizar el aprovechamiento del disco ) .

Saludos

Sí, pero indistintamente de quién pague el asunto es similar. Además, muchos autónomos usan portátiles para su trabajo.

Pero incluso en uno privado puedes tener información como tus cuentas o claves bancarias y otra información confidencial.

Encriptar hace muchos años que está disponible. El asunto no es encriptar o poder encriptar, sino cómo hace el sistema para desencriptar.

Para poder desencriptar, el software que hace tal desencriptado debe poder ejecutarse: y no puede ejecutarse si está encriptado a su vez. Entonces en una máquina cualquiera como mínimo grub 2 está desencriptado.

Puedes ejecutar el sistema de arranque en un pendrive, y de hecho es una solución clásica. Enchufas el pendrive, arrancas el sistema de arranque, seleccionas arrancar el sistema del disco duro y tal.

Un chip criptográfico lo que hace es proporcionar soporte a todo esto. De hecho lo que se cifra no son las particiones ni los volúmenes, sino literalmente todo el disco duro, con lo que solo necesita una clave para todo el disco y todos los sistemas que tengas instalados ahí incluso.

Y como extra, al estar implementado en la placa base puede hacerse que el proceso sea más eficiente.

Hola:
Evito tener datos personales , en los portátiles.

Me parece que esa iso, instalaba por defecto la encriptación , pero se que lo leí en algún lado , pero no me acuerdo (estaba buscando otra info, sobre todo la instalación de la 16.0 , en la cual no vi iso y si otros tipos de archivos) .

Lo del pendrive, lo vi una vez, para arrancar o configurar DAB (Txs de radio digital, por el tco. de la compañía que lo instalo , en cambio nosotros solo entrabamos por rs-232, para determinadas configuraciones ) .

Lo que si se veía era la llave de hardware de algunos programas, sin ella el programa no funcionaba .

Si está por hard, me supongo que no podrán modificarla, y no se que tal se comportara ante un rasonware.
Por ahora no he visto, ninguna plaquita de tpm,
Y en el portátil ejecute un comando en linux y :
:heavy_check_mark: Supported CPU: Valid
:heavy_check_mark: UEFI platform key: Valid
✘ CSME v0:12.0.45.1509: Invalid
✘ TPM v2.0: Not found

No encontrado .
Gracias por la información .
Saludos