Secure Boot в двойной загрузке нужен не для того, чтобы “мучить Linux”, а чтобы компьютер запускал только доверенные загрузчики. На практике задача простая: Windows продолжает загружаться, Linux тоже, обновления не ломают меню выбора системы, а драйверы вроде NVIDIA, VirtualBox или ZFS не перестают работать после включения защиты.
Чаще всего настройка сводится к трём вещам: не перепутать режим UEFI/Legacy, не затереть EFI-раздел Windows и правильно пройти подписку дополнительных модулей через MOK. Ниже — рабочий порядок действий для типичной связки Windows + Ubuntu/Fedora/openSUSE/Debian/Mint, а также варианты для Arch, Gentoo, кастомного ядра и проприетарных драйверов.
Перед изменениями сделайте резервную копию важных данных, зарядите ноутбук, сохраните ключ восстановления BitLocker, если он включён, и держите под рукой загрузочную флешку Windows или Linux. Ошибки в EFI-разделе обычно лечатся, но спокойнее иметь план отката.
- Что именно нужно получить в итоге
- Какой вариант настройки выбрать
- Перед установкой Linux проверьте Windows
- Настройка в прошивке компьютера
- Самый простой путь: ставить Linux с включённым Secure Boot
- Если установщик просит пароль для MOK
- Проприетарные драйверы: где чаще всего ломается
- Arch, Gentoo и кастомное ядро: когда готового shim нет
- Порядок загрузки после установки
- Как проверить, что Secure Boot действительно работает
- Частые ошибки при настройке Secure Boot
- Что выбрать в зависимости от вашей ситуации
- Как лучше сделать на практике
- Итог
Что именно нужно получить в итоге
Нормальная настройка Secure Boot для Linux в dual boot выглядит так:
- система загружается в режиме UEFI, а не Legacy/CSM;
- в прошивке включён Secure Boot;
- используются стандартные заводские ключи производителя или Microsoft;
- Windows Boot Manager остаётся на месте;
- Linux-загрузчик подписан через shim или через ваши собственные ключи;
- дополнительные kernel-модули, если они есть, подписаны и добавлены в MOK;
- в меню загрузки можно выбрать и Windows, и Linux.
Главная мысль: Secure Boot не обязан мешать Linux. Он мешает только тогда, когда загрузчик, ядро или модуль не подписаны так, как ожидает прошивка.
Какой вариант настройки выбрать
| Ситуация | Что делать с Secure Boot | Когда подходит | На что обратить внимание |
|---|---|---|---|
| Ubuntu, Fedora, openSUSE, Debian, Linux Mint, свежий установочный образ | Оставить включённым | Самый частый сценарий | Использовать стандартный установщик, не форматировать EFI-раздел Windows |
| Windows 11 + BitLocker | Оставить включённым | Если Windows уже использует Secure Boot | Сохранить ключ восстановления BitLocker до любых изменений |
| NVIDIA, VirtualBox, ZFS, некоторые Wi-Fi-драйверы через DKMS | Включить Secure Boot + настроить MOK | Если нужны закрытые или внешние kernel-модули | Без подписи модуль может не загрузиться, даже если система стартует |
| Arch, Gentoo, кастомное ядро, свой загрузчик | Включить Secure Boot + свои ключи или подписанный загрузчик | Если дистрибутив не даёт готовый signed shim | Нужно следить за подписью после обновлений ядра и загрузчика |
| Старый дистрибутив или старый образ ISO | Временно отключить Secure Boot | Если установочный носитель вообще не стартует | Лучше скачать свежий ISO, чем сразу отключать защиту |
Перед установкой Linux проверьте Windows
Не начинайте с настроек BIOS, если Windows сама нестабильна. Сначала убедитесь, что она загружается, обновления установлены, диск не сыпется ошибками, а важные данные скопированы.
Если включён BitLocker, найдите ключ восстановления. При смене загрузчика, порядка загрузки или параметров Secure Boot Windows иногда может попросить этот ключ. Это не поломка, а штатная реакция на изменение доверенного пути загрузки.
Также проверьте, что Windows установлена именно в UEFI-режиме. В Windows это можно увидеть через msinfo32: строка Режим BIOS должна быть UEFI. Если Windows стоит в Legacy, а Linux установить в UEFI, двойная загрузка будет путаться. Если Windows стоит в UEFI, Linux тоже нужно ставить в UEFI.
Настройка в прошивке компьютера
Зайдите в UEFI/BIOS через клавишу при включении: чаще всего это F2, F10, Del или Esc. Названия пунктов отличаются у разных производителей, но смысл один.
- Найдите режим загрузки и убедитесь, что включён UEFI.
- Отключите CSM или Legacy Boot, если они есть.
- Включите Secure Boot.
- Оставьте режим ключей Standard, Factory или Default. Не нажимайте Clear Secure Boot Keys без понимания, зачем.
- Сохраните настройки и загрузитесь с установочной флешки Linux.
Если пункт Secure Boot неактивен, у некоторых ноутбуков Lenovo, Acer, HP и других брендов сначала нужно задать пароль администратора UEFI. После включения нужных опций пароль лучше записать и не терять. На некоторых устройствах после этого можно снова снять пароль, но не на всех.
Самый простой путь: ставить Linux с включённым Secure Boot
Для большинства популярных дистрибутивов ничего дополнительно готовить не нужно. Ubuntu, Fedora, openSUSE, Debian и их производные используют подписанный загрузчик shim. Именно он “договаривается” между Secure Boot и Linux-загрузчиком.
Рабочий порядок такой:
- Скачайте свежий ISO с официального сайта дистрибутива.
- Запишите флешку через Rufus, Ventoy, balenaEtcher или штатную утилиту системы.
- В UEFI включите Secure Boot, но не очищайте ключи.
- Загрузитесь с флешки через Boot Menu.
- Если Live-среда запустилась, базовая поддержка Secure Boot уже есть.
- При установке не форматируйте EFI-раздел Windows.
- Установите Linux рядом с Windows.
- После перезагрузки выберите Linux или Windows в меню загрузки.
EFI-раздел обычно имеет файловую систему FAT32, небольшой размер и смонтирован как /boot/efi в Linux. Его не нужно удалять. Linux просто добавит туда свою папку, например /EFI/ubuntu, /EFI/fedora или /EFI/opensuse.
Если установщик просит пароль для MOK
Во время установки некоторых дистрибутивов или драйверов может появиться запрос на создание пароля для MOK — Machine Owner Key. Это ключ, который вы добавляете в загрузчик Linux, чтобы разрешить загрузку дополнительных подписанных модулей ядра.
Пароль MOK нужен не каждый день, но забыть его неприятно. Придумайте обычный пароль на 8–12 символов, который сможете ввести без спешки. На некоторых клавиатурах в синем экране MOK Manager раскладка может вести себя неожиданно, поэтому лучше не использовать слишком экзотические символы.
После первой перезагрузки может появиться синий экран MOK Manager. Там обычно нужно выбрать:
- Enroll MOK;
- Continue;
- подтвердить действие;
- ввести пароль, который задали при установке;
- перезагрузиться.
Если этот экран пропустить, Linux может загрузиться, но проприетарные модули вроде NVIDIA могут не заработать. Если экран не появился, но модули нужны, проверьте состояние MOK в Linux командой:
mokutil --sb-state
mokutil --list-enrolled
Если ключ ещё не добавлен, установщик драйвера обычно сам предложит пройти процедуру MOK. В Ubuntu и производных это часто связано с update-secureboot-policy, в Fedora — с механизмами akmods/RPM Fusion, в openSUSE — с инструментами YaST и подписью модулей. Названия команд отличаются, но логика одна: сгенерировать ключ, добавить его в MOK, подписать модуль.
Проприетарные драйверы: где чаще всего ломается
Самый частый случай — NVIDIA. С выключенным Secure Boot драйвер ставится и работает. После включения Secure Boot неподписанный kernel-модуль уже не загрузится. Симптомы бывают разные: чёрный экран, низкое разрешение, загрузка на nouveau вместо NVIDIA, сообщение об ошибке модуля в логах.
То же самое касается VirtualBox, ZFS, некоторых драйверов Wi-Fi, VMware-модулей и других DKMS-модулей. DKMS пересобирает модуль под ваше ядро, но Secure Boot не доверяет этому модулю автоматически. Его нужно подписать и добавить ключ через MOK.
Практичный совет: если вам срочно нужно, чтобы машина работала “прямо сейчас”, можно временно отключить Secure Boot. Но это не лучший долгосрочный вариант. Правильнее поставить драйвер через штатный инструмент дистрибутива и пройти процедуру подписи.
Arch, Gentoo и кастомное ядро: когда готового shim нет
С Arch и Gentoo ситуация другая. Эти дистрибутивы часто дают больше свободы, но меньше автоматизации. Если вы используете стандартное ядро из репозитория и готовый подписанный загрузчик, Secure Boot можно настроить относительно спокойно. Если собираете своё ядро, используете свой GRUB, systemd-boot или кастомную схему — придётся подписывать компоненты самостоятельно.
Для Arch-подобных систем часто используют sbctl. Примерная схема такая:
sudo pacman -S sbctl
sudo sbctl create-keys
sudo sbctl enroll-keys
sudo sbctl sign-all
Это не универсальная инструкция для всех систем, а ориентир. В разных дистрибутивах отличаются пакеты, пути к EFI-файлам и момент, когда нужно подписывать ядро. Главное — понять принцип: Secure Boot проверяет цепочку загрузки. Если ядро или загрузчик изменились после обновления, их подпись тоже должна быть актуальной.
Если вы не готовы регулярно проверять подписи после обновлений, проще выбрать дистрибутив с готовой поддержкой Secure Boot или временно оставить Secure Boot выключенным.
Порядок загрузки после установки
После установки Linux компьютер может сразу загрузиться в Windows. Это не значит, что Linux не установлен. Часто прошивка просто оставила Windows Boot Manager первым в списке загрузки.
Зайдите в UEFI и посмотрите Boot Order. Выберите загрузчик Linux первым, если хотите видеть GRUB или systemd-boot. Если хотите оставлять Windows первым пунктом, можно выбирать Linux через Boot Menu при необходимости.
В Linux можно посмотреть список загрузочных записей командой:
efibootmgr -v
Если Windows исчезла из меню GRUB, это чаще не проблема Secure Boot, а отсутствие os-prober или выключенное обнаружение других систем. В Ubuntu и производных обычно помогает включение os-prober и повторное обновление GRUB. Secure Boot при этом может оставаться включённым.
Как проверить, что Secure Boot действительно работает
После установки и первого входа в Linux проверьте три вещи.
- В UEFI включён Secure Boot и стоят стандартные ключи.
- Linux загружается в UEFI-режиме. Проверить можно командой:
test -d /sys/firmware/efi && echo "UEFI mode" - Secure Boot виден из Linux:
mokutil --sb-state
Также полезно один раз перезагрузиться в Windows, потом снова в Linux. После обновления ядра или драйверов повторите проверку. Если после обновления NVIDIA, VirtualBox или ZFS перестали работать, первым делом смотрите не Secure Boot, а подписан ли новый модуль.
Частые ошибки при настройке Secure Boot
- Установка Linux в Legacy-режиме рядом с UEFI Windows. В итоге загрузчики оказываются в разных мирах, и меню загрузки начинает вести себя странно.
- Форматирование EFI-раздела Windows. Это может удалить Windows Boot Manager и привести к тому, что Windows перестанет стартовать.
- Очистка Secure Boot keys. После этого система может перейти в Setup Mode. Для обычной двойной загрузки это не нужно.
- Пропуск экрана MOK Manager. Система загрузится, но неподписанные модули могут не работать.
- Включение Secure Boot после установки NVIDIA без подписи модуля. Частая причина чёрного экрана после входа в систему.
- Использование старого ISO-образа. У некоторых старых сборок может быть просроченный или неподходящий shim.
- Установка загрузчика не на тот диск. Особенно актуально, если Windows и Linux стоят на разных SSD.
- Попытка “починить” Secure Boot удалением Windows Boot Manager. Windows при этом может остаться на диске, но штатный путь загрузки будет сломан.
Что выбрать в зависимости от вашей ситуации
Если ставите Ubuntu, Fedora, openSUSE, Debian или Mint рядом с обычной Windows — оставляйте Secure Boot включённым, используйте свежий ISO и не трогайте EFI-раздел Windows. Это самый спокойный вариант.
Если у вас Windows 11 и BitLocker — не отключайте защиту наугад и не очищайте ключи. Сначала сохраните ключ восстановления BitLocker. Secure Boot можно оставить включённым, просто будьте готовы ввести recovery key после изменения порядка загрузки.
Если нужен NVIDIA или другой DKMS-модуль — ставьте драйвер через инструменты дистрибутива и пройдите MOK. Если нужно быстро вернуть работоспособность, временно выключите Secure Boot, но позже лучше подписать модуль.
Если используете Arch, Gentoo, кастомное ядро или свой загрузчик — либо берите готовую схему с подписанными компонентами, либо настраивайте собственные ключи через sbctl или аналог. Не включайте такой вариант перед срочной работой, если раньше не занимались подписью.
Если старый дистрибутив не стартует с Secure Boot — не мучайте установщик. Скачайте свежий образ. Если и он не стартует, отключите Secure Boot на время установки, но заранее решите, будете ли потом подписывать компоненты или оставите защиту выключенной.
Как лучше сделать на практике
Оптимальный сценарий для большинства пользователей выглядит так:
- Проверить, что Windows загружается в UEFI.
- Сохранить ключ восстановления BitLocker, если он включён.
- Скачать свежий ISO нужного дистрибутива Linux.
- Включить UEFI и Secure Boot, оставить стандартные ключи.
- Загрузиться с флешки и убедиться, что Live-среда стартует.
- Установить Linux рядом с Windows, не форматируя EFI-раздел.
- Если появится MOK Manager — пройти регистрацию ключа.
- Поставить драйверы через штатные инструменты дистрибутива.
- Проверить загрузку Windows и Linux после перезагрузки.
- После обновления ядра или драйверов убедиться, что модули снова работают.
Если после всех действий Secure Boot мешает, не спешите считать Linux “несовместимым”. В 90% случаев проблема не в самом Secure Boot, а в неподписанном модуле, старом загрузчике, Legacy-режиме или неправильном EFI-разделе.
Итог
Для обычной двойной загрузки Windows + Linux Secure Boot лучше оставить включённым, если вы ставите современный дистрибутив с поддержкой signed shim. Не очищайте ключи, не форматируйте EFI-раздел Windows и не игнорируйте MOK Manager. Для NVIDIA, VirtualBox, ZFS и других внешних модулей заранее предусмотрите подписку.
Если вы не хотите разбираться с ключами и кастомным ядром, выбирайте Ubuntu, Fedora, openSUSE, Debian или их производные. Если используете Arch, Gentoo или собственный загрузчик — планируйте подписывать компоненты и проверять их после обновлений. А если конкретный старый дистрибутив не запускается с Secure Boot, проще обновить образ или временно отключить Secure Boot, чем пытаться обходить проблему наугад.
