T14*/T15* Einrichtung T14s, spätere Linuxtauglichkeit

[Thufir]

Guten Tag,

ich bin dabei mein neues T14s G4 AMD einzurichten. Was muss ich dabei generell beachten und speziell mit Blick auf eine ggf. irgendwann erfolgende Nutzung von Linux?

BIOS: Secure Boot? Weitere Kompatibilitätseinstellungen? Sonstiges nützliches?
Windows 11 (Vorbereitung zu installierendes Image mit Rufus, ggf. auch spätere Einstellungen in Windows selber): Bitlocker aus/an? Weitere Einstellungen?

Es ist noch nicht klar, ob ich Linux nutzen werde bzw. ob es dann eine Dual Boot Installation sein wird. Aber ich möchte mir die Möglichkeit offen halten. Gleichzeitig weiß ich Sicherheitsgewinne durch Secure Boot o.ä. durchaus zu schätzen, möchte also nicht ohne Not Veränderungen vornehmen.

 

[ebastler]

Secure Boot an, CSM Boot disabled (UEFI only), TPM aktiv (und idealerweise nicht pluton, aber Linux kommt damit zur Not klar). Das brauchst damit Windows 11 überhaupt geht. Kurz gesagt, erstmal "Win11 WHQL" als Default setzen und dann OS optimized defaults laden. Dann macht's eh alles richtig.

Sobald Linux dazu kommt musst eigentlich fast nichts machen - nur Third Party CA certificates erlauben musst dann aktivieren damit dein Linux mit Secureboot klarkommt. Sonst bootet da nur Windows von und kein Linux, auch, wenn es mit allen Certs kommt.

 

[Ravensberger]

Der Linux Kernel kann nicht kompiliert werden, wenn Secure Boot aktiv ist. Dieses geschieht zum Beispiel beim Verwenden von VirtualBox. Grundsätzlich fährt ein Linux mit Secure Boot einwandfrei hoch, aber mehr erst einmal nicht. Zum schnuppern kannst Du Secure Boot also aktiviert haben. Wenn Du ernsthaft mit dem Linux arbeiten willst, kommst Du mit Secure Boot nicht weit.

Meines Wissens nach funktioniert dasT14s G4 AMD auch mit dem LTS Kernel 6.1. Es gibt aber auch eine Reihe Distributionen, die immer den neuesten Kernel mit sich bringen.

 

[Korfox]

Welche Linux-Distribution möchtest du denn einsetzen? Pauschal zu sagen, dass Linux dies und jenes mit Secure Boot kann oder nicht kann ist erstmal falsch (außer beim Kernel kompilieren... Das weiß ich nicht...).
Ein Ubuntu kannst du z.B. plug and play mit SB installieren, bei Arch-Derivaten ist es nicht so einfach.

 

[wawa]

Ein Ubuntu kannst du z.B. plug and play mit SB installieren, bei Arch-Derivaten ist es nicht so einfach.

warum?

 

[Korfox]

Warum was?
Ubuntu bringt halt eine fertig konfigurierte und signierte Shim-Grub-Kernel-Kette mit. Bei Arch gibt es das per Definitionem nicht.

 

[wawa]

wollte nur ueberpruefen ob ich shadow banned bin war mir unsicher vlt weil ich manchmal blödes zeug sag

 

[Thufir]

Danke,

dann wird es erstmal bei Secure Boot bleiben, ggf. jetzt schon aber mit Third Party CA certificates enabled.

Wie sieht das aber mit Bitlocker aus? Offenbar ist es standardmäßig aktiviert in Win11. Deaktivieren vor der Installation, oder kann man es später problemlos nach Bedarf abschalten? Muss man es abschalten im Zusammenspiel mit Linux? Bzw. sind ohnehin eher andere Verschlüsselungen wie Veracrypt? Zu empfehlen?

 

[Ravensberger]

Moin, ich hatte gestern nach langer Zeit unter Debain 12 wieder den Secure Boot aktiviert und keine Einschränkungen festgestellt. Extra Zertifikate habe ich nicht eingespielt, das UEFI ist aktuell. Alles gut soweit, ich nutze aber auch kein VirtualBox mehr, sondern KVM, wenn nötig. Das Secure Boot kann man vor Firmware Updates unter Linux auch wieder deaktivieren.

Bitlocker ist auch kein Problem mit Linux, da dieses dann mit den verschlüsselten Partitionen nichts anfangen kann. Wenn verschlüsselt werden soll, würde ich dieses vor einer Linux Installation vornehmen, damit beim Hochfahren des Linux nicht plötzlich Partitionen fehlen / unlesbar sind, die das Linux standardmäßig einbinden möchte. Möchtest Du eine Linux Partition verschlüsseln, ist dies mit LUKS möglich. Meine externen Datenträger, die mit LUKS verschlüsselt wurden, sind hierdurch aber recht zäh geworden.

 

[mcb]

l bei Secure Boot bleiben, ggf. jetzt schon aber mit Third Party CA certificates enabled.

Ja das sollte funktionieren.

Dualboot mit Bitlocker geht auch. Unter Linux kannst du das Windoslauferk bei Bedarf mounten.

Du mußt Bitlocker mit PIN/Passwd aber ohne TPM wählen (über die GPOs).