Reprise du message précédent :

 
Euh... Comment je peux te donner cela ?
 
Je n'en suis pas si sur que j'ai de l'UEFI+SB car :
1- le BIOS en lui-même, c'est du old-BIOS donc navigation aux flèches directionnelles. Comparé au BIOS+UEFI ou l'on peut naviguer à la souris
2- Aucune option dans le BIOS du PC Portable permettant d'activer ou de désactiver l'UEFI et/ou le SB
3- Test fait après l'installation d'une Debian Sid (l'installeur Wheezy installe de lui-même grub-efi comme un grand) :

 
4- Même test sous Windows 7 installé le jour même de la reception du PC, la seule chose que j'ai modifié dans le BIOS, c'était de booter sur le DVD. Or, je ne pouvais booter que sur le mode "DVD classique". Aucune trace du mode "DVD UEFI"

 
Un OS Windows installé en UEFI devrait donner en "path" ceci : "\Windows\system32\winload.efi"

 
On s'en fou de savoir comment boot ton OS, en fait ton OS boot en mode legacy parce que ton firmware est en mode de compatibilité. Tu confond UEFI, BIOS, Secure Boot et tout le reste. Je te demandais le modèle de ton portable. (mais vue que t'as un G70) c'est un firmware AMI Aptio qui est un UEFI.

Re,
 
Ca y est, j'ai acheté une nouvelle machine, et au lieu de profiter bien tranquillement de ma distro préférée, je suis en train de me dépetrer avec l'UEFI et son fonctionnement usinagazeux.  
 
J'explique : hier j'ai fait un clear CMOS car le Fastboot faisait redémarrer mon ordi en boucle. Normal, fastboot est incompatible avec Debian, j'aurais du me renseigner,    
 
 
Normalement, un clear CMOS est une opération de routine sans grand danger, mise à part qu'il faut refaire deux trois réglages dans le bios (ordre de démarrage etc.)
Mais avec l'UEFI, grave erreur!
 
L'UEFI stocke en NVRAM le chemin de démarrage dans la partition de boot! Comme j'utilise grub (et non windows), l'application s'appelle grubx64.efi à la place du nom habituel pour windows.
Et bien sur, aucun moyen de modifier ce chemin dans mon interface de setup.
 
MAIS QUEL PETIT CERVEAU MALADE A PU INVENTER CA? On te vente UEFI pour son interface clavier souris, alors qu'il y a même pas un outil intégré pour choisir l'image . efi de démarrage!!!              
 
Il me reste 4 solutions :  
- repasser en mode de compatibilité BIOS, mais je ne veux pas, car il faut bien me préparer au futur
- utiliser un CD de recue et l'utilitaire efibootmgr de Linux, pour corriger le chemin de boot en nvram (solution élégante)
- idem, mais avec le shell uefi (solution élégante aussi)
- réinstaller grub avec le paquet ou grub-install.
 
Si vous avez d'autres solutions, je suis preneur. Carte mère ASUS Vanguard B85.

 
Explique moi ton problème en détails, parce que là je sais même pas se que tu veux faire.

2 pages de wiki utiles
https://wiki.archlinux.org/index.ph [...] _Interface
https://wiki.archlinux.org/index.php/Boot_Loaders

 
Entre nous, elles amènent a rien ces pages de wiki, rien d'utilisable en l'état.
Déjà, elles disent pas qu'il faut une ESP sur un des disques dur, d'ailleurs, c'est mis nul part. Ensuite, ça dit pas que pour que ça fonctionne, il faut les .efi stockés suivant une structure précise dans l'ESP, ensuite, ça dit pas comment faire pour installer un système proprement peut importe l'OS installé par la suite, ni comment manipuler la NVRAM sans bricker ton installation toutes les 2 secondes.
 
D'ailleurs et ironiquement, ces pages WIKI recommandent d'utiliser GRUB, alors que GRUB est fort pour bricker les NVRAM si tu t'y connais pas. Le "mieux" reste rEFInd + UEFI stub et chemin en dur dans le kernel, kernel stocké dans l'ESP.

Alors le Kernel stocké dans l'ESP, je dis 1000x oui! Effectivement, grub est pour moi un "point of failure" dans le cas de EFI (en plus d'être inutile). Mais bon, l'inertie de Linux, fera qu'on se le paluchera encore une bonne paire d'année.
 
Pour revenir à mon problème :  Suite à un reset CMOS, la nvram ne pointait plus vers l'image de démarrage "grubx64.efi" (qui n'est pas un nom "standard" d'image efi).
 
J'ai résolu le problème de la manière suivante:
- reboot sur une clé usb uefi contenant la netinstall debian
- lorsque grub se lance, j'appuie sur la touche "c"
- à l'aide de la commande "ls" de grub, je cherche la partition et le chemin qui contiennent le ficher de configuration de grub sur le disque du de démarrage (grub.cfg, généralement dans le dossier /boot/grub )
- J'invoque ce fichier avec la commande configfile
- grub continue de démarrer via ce fichier, du coup le menu normal s'affiche, et le pc boote correctement
- je me connecte en root et j'utilise la commande "grub-install" pour remettre grub d'équerre.
 
Comme j'ai le gout du risque et de la compréhension, j'ai replanté mon PC de la même manière qu'avant : fastboot activé puis clear cmos via le jumper. Etonnament, la nvram n'a pas été effacée alors que tout le reste du bios a été remis à zero. Idem après le flashage du bios EFI en dernière version...
Du coup, je suis plus rassuré, je pense que le reset de la nvram était un bug. Visiblement, il n'est pas stocké en cmos.
Au passage question con : quel est le meilleur shell efi à utiliser en ce moment?

 
Fait plus "simple" et vraiment brickless :
Par défaut la NVRAM asus ira pointer vers bootmgr.efi (qui est le bootmanager de windows), c'est parce qu'Asus est con et donc Asus, en cas de gros pépins cherche du windows, ils ne respectent pas le "standard". Cela dit, on peut faire "sans" voir même carrément plus propre.
Ton ESP doit avoir une structure :
la racine de ton ESP doit contenir un dossier EFI, ce dossier EFI doit contenir un dossier par "bootloader" et/ou OS ainsi moi j'ai :
ESP
-shell.efi
-EFI
--windows
---bootmgr.efi (et d'autres trucs)
--ubuntu
---Mok.efi (et d'autres trucs relatif au grub spécifique pour ubuntu)
--rEFInd
---(des trucs pour rEFInd)
--Gentoo
---kernel.efi
--Tools
---memtest.efi
---tianocore.efi
---différents shells
 
Donc la structure doit de préférence toujours être celle ci a savoir ton shell de base a la racine et tes bootloader.
Dans mon cas, je laisse refind s'occuper des paramètres de boot puisqu'il est très très bon pour l'autodetection (en plus de pouvoir accéder aux outils)
 
Pour l'astuce "brickless" sur asus, ca consiste a modifier l'entrée taggée bootmgr.efi et la faire pointer (en gardant son tag) vers le gestionnaire de ton choix (comme ça tu gruge le firmware)
 
C'est pas le nom de l'image qui n'est pas standard mais les fabricants de mobal qui ne respectent pas le standard intel (opensource je le rappel) pour avoir la certification "windows ready".
Dans mon cas, je pointe mon bootmgr.efi vers refind.
 
Sous visualBCDeditor ca donne ça (note que gentoo étant stubbé chez moi, il n'apparait pas, je boot directement le kernel sur la partoche en ext2 via detection rEFInd):

 
Edit : tianocore/EDK2 pour le shell
http://sourceforge.net/apps/mediaw [...] UEFI_Shell
(je te conseille d'apprendre a le compiler pour par exemple avoir le clavier en azerty au lieu du qwerty du package binaire)

Merci!
Par contre, j'ai pas compris ce que que tu appelles "pointer" : sur ma machine, point de Windows! Au pire, je pourrais faire une copie de mon fichier de grub vers windows/bootmgr.efi, mais je ne trouve pas ca nickel (même si ca risque de fonctionner)

Pointer : modifier les infos BC dans la NVRAM, faut comprendre la structure.
Tiens, si tu veux te marrer :

 
Le mieux, c'est d'installer rEFInd et de le laisser en "hard" a deux endroits, nommé de deux manières différentes : ESP/EFI/rEFInd/ et ESP/EFI/boot/ (ou il sera renomé en bootx64.efi), tu modifiera son tag pour qu'il soit équivalent a {bootmgr.efi} comme ça ton firmware asus te fera plus jamais chier.
 
Edit : et j'espère que maintenant tu comprend mieux quand je dit que le problème n'est pas microsoft vis a vis des utilisateurs, mais bel et bien les fabricants OEM qui veulent absolument leurs "certified for windows" ?

Oui, je comprend et je suis moins enervé. Reste que je trouve que tout cela est bien "compliqué" juste pour booter. Je ne peux pas reprocher aux fabriquants de n'implémenter que le stricte nécessaire pour que ça fonctionne, car dans ce cas je trouve les specs complexes. M'enfin, je ne referai pas le monde.
 
En fait, je pense que c'est ce que fait grub-install, non? Modifier la nvram pour booter vers l'image du grub?

Ouip, mais grub est crade et doit le refaire a chaque mise a jour kernel ou presque. Grub est con, c'est pas sa faute.
 
Pour l'UEFI le plus complexe a assimiler c'est :
Fast boot = désactivation du CSM = matériel compatible uniquement (c'est le seul point limitant en fait, donc dans ton cas se qui fesait reboot en boucle ça doit être la carte graphique pas compatible GOP) = on désactive dans le doute (y'a rien pour le grand publique qui permette de dire si la totalité de son matériel est "ok" ).
Secure Boot = compliqué a mettre en oeuvre, faut signer ses kernels avec une private key générée via un utilitaire sur la config, puis intégrer la key avec mokmanager. Ensuite tu peu booter par ton shim.efi (avec la séquence de boot qui devient shim.efi > grub signé (ou refind signé) > kernel signé) = on désactive si on maitrise pas (et jusqu'a présent y'a rien de brainless de mis en place pour le grand publique donc, techno intéressante mais chiante)
 
A partir de là, faut s'assurer de plusieurs points :
-on commence par partitionner son disque en GPT, avec ESP en fat32 en partition 1 (ça évite aux firmwares un peu pourris de s’emmêler)
-on installe refind et tout ses fichiers dans (partitionESP)/EFI/boot/
-on renome notre refind en "bootx64.efi"
-on laisse grub s'installer, il va aller detecter tout seul ou se mettre ((partitionESP)/EFI/debian ou autre) et surtout on lui dit de ne pas modifier les entrées dans la NVRAM
-Quoi qu'il arrive on touche plus a la NVRAM, de toute façon, refind est plus intéligent que n'importe quel bootloader/bootmanager existant.

ok, merci!
 
En fait, c'est pas le fasboot à proprement parler qui posait problème. C'est une autre option "démarrage rapide hardware" qui vient en complément du fastboot et qui est désactivée par défaut. Cette fonction contourne complètement le POST, tellement que mon PC reboot en boucle, avant même que je puisse faire F2!

Devenir votre propre autorité de certification et vous passer des clés microsoft mais malgré tout utiliser secure boot ? Oui c'est possible. Compliqué actuellement mais possible.
 
Un tuto en anglais (source : http://www.rodsbooks.com/efi-bootl [...] boot.html)
TLDR :  
-Récupérer GNU-EFI
-Compiler efitools (qui ira générer vos certificats perso et le lockdown.efi)
-Compiler sbsigntools
-signer vos binaires de bootload/bootchain (pour signer une distro linux par exemple il faut signer le grub, grub une fois signé permettant de passer outre ... Vive le POF , ou bien signer votre kernel "stubbé" )  
-préparer vos fichiers a installer via le shell
-installer vos clés et passer votre firmware en mode lockdown
 
Step by step en anglais :  

 
Avec ceci on peu de manière relativement simple a condition de suivre scrupuleusement les indications (testé et approuvé par mes soins) :
Signer a peu prêt tout et n'importe quoi et avoir Secure Boot d'activé
Signer Windows XP/Vista/7, resigner Windows 8/8.1 et faire qu'il ne couine plus du coup.
Signer linux, freebsd, et 3/4 des OSA x86 et x86_64
Signer Mac OS
 
Avec un peu plus de difficultés on peu signer pour de l'ARM et remplacer les key secure boot microsoft ARM et donc vous comprendrez qu'on puisse avoir une tablette windows RT ET un autre OS.
 
En fait Windows ne demande qu'une chose : avoir secure boot d'activé pour être dans la position "idéale", pas d'avoir des clés PKK microsoft.
 
Concrètement si on peu signer ses propres binaires EFI, Secure Boot protège de quoi ?
Secure Boot protège d'une chose bien particulière : le hack kernel et l'installation d'un programme remplaçant celui-ci a distance et a condition que vos certificats et clés de signature ne soient pas a disposition de tout le monde :
-Si quelqu'un a accès a votre machine de manière physique, il peut désactiver secure boot dans le bios, remettre a 0 les clés et unlock le système
-Si quelqu'un a accès a vos clés de signature et vos certificats, il peut signer des binaires et les injecter quand même

Joli post !

+1

 
gros drapal
   
Pour le coup, pour moi c'est the best post ever on HFR, merci !!
LA réponse concrête à une question qui restait abstraite à bien trop de monde sur le fofo
C'est clair, c'est précis, c'est nickel quoi, je pourrais vraiment tester tout ça à fond quand j'aurais du temps libre