Convertir une machine Debian en EFI (avec Secure Boot)

Bonjour à tous,

Aujourd’hui, petit article pour expliquer comment faire booter une vieille machine Debian en EFI et avec Secure Boot (ici un Debian 13, avec une partition en EXT4).

Cette procédure est utile si vous êtes comme moi et que vous trainez des machines virtuelles depuis un moment (notamment la machine qui héberge ce blog).

Il y a plusieurs avantages à faire cela, vous pouvez profiter de l’EFI et du secure boot, de contrôleurs de stockage virtuels qui promettent une meilleure vitesse (on passe de IDE à SCSI sous Hyper-V) et cela prépare la VM pour le futur car le MBR sera bien abandonné un jour.

Prérequis

! Avant de commencer, réalisez un backup de vos données !

Avant de commencer, il faut que la machine démarre déjà en EFI, même si votre système ne le supporte pas encore.
Sous Hyper-V, cela veut dire recréer une machine virtuelle en génération 2 avec le même disque, sous Proxmox, on peut le changer, il faut juste ajouter un disque EFI dans les paramètres de la VM.

Nous aurons besoin de l’utilitaire “boot repair disk” pour cette procédure, téléchargez la dernière version à cette adresse (https://sourceforge.net/p/boot-repair-cd/home/fr/) et montez-le dans votre machine virtuelle :

Ensuite, mettez le bien en premier dans l’ordre de démarrage :

Pour finir, désactivez le Secure Boot :

Démarrez ensuite votre machine.

Création de la partition EFI

Une fois que vous avez démarré sur “boot repair disk”, fermez directement l’utilitaire qui s’affiche :

Lancez “Gparted” et vérifiez que votre disque est bien démonté et s’il ne l’est pas, démontez-le comme ceci :

Maintenant, nous allons avoir besoin de récupérer de l’espace sur la partition système, utilisez l’option “Resize” :

Récupérez 100Mo d’espace disque comme ceci à la fin de la partition (et pas au début, sinon vous allez tuer votre partition EXT4) :

Validez les opérations en attente avec la coche verte :

Ensuite, créez une partition en “fat32” sur les 100Mo de libre :

Une fois la partition créée, faites un clic-droit dessus et cliquez sur “Manage Flags” :

Pour créer une partition EFI fonctionnelle, sélectionnez les “flags” suivants : “boot” et “esp”

Votre table de partition devrait être comme ceci à la fin :

Création du grub EFI

Fermez Gparted et lancez maintenant l’utilitaire boot repair, sélectionnez la première option :

L’utilitaire vous indiquera directement les commandes à passer dans le terminal pour supprimer le grub classique, suivez simplement les instructions :

Faites de même pour l’installation du grub-efi :

Pas besoin d’envoyer le rapport sur pastebin à la fin :

Si vous n’avez pas eu d’erreur, redémarrez simplement la machine, vous verrez que Debian démarre maintenant en EFI avec le boot menu suivant :

Vous pouvez valider cela avec la commande suivante :

dmesg | grep -i "EFI v"

Activation du Secure Boot

Par défaut, l’outil de réparation n’injecte pas les signatures nécessaires dans le Secure Boot, vous devez directement le faire depuis Debian à chaud.
Vérifiez que les prérequis sont bien installés avec la commande suivante :

apt install grub-efi-amd64-signed shim-signed

Ensuite, régénérez la partition EFI avec les signatures Debian :

grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --recheck

Et mettez à jour Grub :

update-grub

Éteignez ensuite la machine virtuelle et activez le Secure boot avec le template suivant sous Hyper-V :

Redémarrez ensuite votre machine.
Si elle démarre, c’est que le Secure Boot est fonctionnel, mais vous pouvez toujours le valider avec la commande suivante :

mokutil --sb-state

Voici le résultat attendu :

Et voici, c’est tout pour aujourd’hui 🙂
Notez que je n’ai pas converti le disque en GPT car cela n’est pas nécessaire pour Debian (en tout cas pas pour Debian 13 à la date de cet article).