Dual boot Linux och Windows 11

Tänkte att jag skulle testa dual boot Windows 11 med Linux. Jag använder Arch Linux primärt men när jag började kolla lite på det inser jag att Microsoft gjort det svårt med dual boot. Eller Arch Linux gör det svårt, beroende på hur man ser det.

Secure boot och TPM. Jovisst min hårdvara stödjer detta. Men inte Arch Linux.

Finns några alternativ.

Välja annan dist som stödjer secure boot. Exempelvis ubuntu eller fedora. Ingen av dem faller mig i smaken. Kanske debian men har köpt ny hårdvara (13700K) så vill ha modern kärna. Man kan förstås köra backportad kärna på debian. Tänkbart alternativ. Vill jag leka med Arch kan jag virtualisera det.

Slå på secure boot när jag bootar Windows. Känns krångligt att joxa i bios fram och tillbaka.

Försöka få Arch att boota med secure boot enabled. Ska gå att göra med shim bootloader. Inte supportat, risk för krångel. Men kanske lättare än jag tror?

Stänga av secure boot i Windows 11. Verkar som man tappar features som automstiska uppdateringar och möjligheten att köra Android appar.

Virtualisera Windows 11. Detta är nog det jag lutar mest mot. Det går att emulera TPM men behöver jag ens detta när hårdvaran stödjer det? Hur som helst detta ger bra flexibilitet. Men jag vill ju ha kraften från min GPU i Windows. Nu har jag fått en igpu på min nya hårdvara så jag skulle kunna göra passtrough på mitt 5700 XT och köra intel grafik i Linux. Men man kanske tappar viss prestanda jämfört med bare metal.

Eller så bara struntar jag i Windows. Har i flera år bara kört Windows 10 i VM. Men det är lite utmaning att få till detta. Visst man kan ha Windows 10 bare metal också men var det inte bättre stöd för P och E cores i Windows 11?

Kanske köra fullt ut med virtualisering? Boota någon virtualiseringshost och starta alla mina operativsystem därifrån. Eller att jag kör mitt Arch Linux i botten och allt annat i olika VM.

Hur gör ni med dual boot?

Kollade benchmarks på nätet för Alder Lake (gissar att Raptor Lake som jag har är är liknande) och det var ingen märkbar skillnad i prestanda mellan Windows 10 och 11 så där föll argumentet bort att ha Windows 11 bare metal, går lika bra med Windows 10 som inte kräver secure boot. Hade för mig att det skulle vara någon prestandaskillnad men det var kanske bara teoretiskt. Typ någon scheduler eller något.

Jag funderar på att börja videoredigera i Davinci Resolve. Davinci Resolve finns också till Linux men sist jag testade för något år sedan fungerade det inte särskilt stabilt i Linux. Kanske har förbättrats på senare tid? Trolig orsak är att då när jag testade krävdes proprietära drivrutiner för mitt 5700XT grafikkort i Linux för davinci resolve (av någon konstig anledning) och proprietära drivare var ingen höjdare med AMD grafikkort på Arch Linux. Ska ge det ett nytt försök med open source AMD drivrutiner i Linux men det är intressant att jämföra prestandan och hur bra det fungerar i olika OS. Kanhända att det funkar bättre med Nvidia grafikkort generellt? Osäker på om det var Linux eller AMD grafiken som var orsaken till krånglet. Troligen hade utvecklarna av programmet inte prioriterat Linux-stödet.

Windows 11 får bli i en VM. Är alltid skoj att testa. Synd att det kräver secure boot för full funktionalitet. Visst finns säkert anledningar men det krånglar till det. Jag använder inte Windows jättemycket men vissa programvaror fungerar bättre där. Jag gillar också att programmera. Har till exempel lekt lite med att göra Androidappar. Därför är jag nyfiken på stödet för androidappar i windows 11 och hur detta fungerar. Detta är också anledningen att jag har chromeos som alternativ på min laptop (där kan man också köra androidappar). Med flutter kan jag också göra appar för ios (samt även appar för windows och macos desktop). Kräver dock macos för att kompilera till ios. Så ska försöka få till en hackintosh. Har det på laptopen men den är rätt långsam. Eller så får jag köpa en macbook. Mycket kan man ju virtualisera men inte allt.

Edit: https://wiki.archlinux.org/title/Unified_Extensible_Firmware_...

Det verkar ju finnas en möjlighet där att köra igång GRUB som i sin tur inte kräver signerade binärer, om man bara vill uppfylla kraven för Windows 11 utan att bry sig om säkerheten. Ska nog testa detta sätt.

Jag får testa. Det är liksom halva nöjet att prova och se vad som händer.

Så från Arch wiki

"It might be worth mentioning that if you are not actually interested in the security brought by Secure Boot and are only enabling it to meet the requirements posed by Windows 11, you may want to consider disabling the validation process in shim with mokutil --disable-validation. In that case you will not need to sign grub (sbat probably still needed) or the kernel images and at the same time be able to boot Windows with chainloader in grub."

Alltså kör man en Linux-dist som supportar secure boot så kan det så klart vara värt att säkra hela bootsekvensen med signerade binärer och krypterad root. Men jag vill bara leka i hemmalabbet och ser det bara som något som begränsar min frihet.

Så shim är en bootloader signerad med Microsofts nyckel. Sedan lägger man till egna signaturer i den där mokutil för att fortsätta boota något annat. Microsofts nyckel ligger redan i bios så chainloadar man windows så bootar det då normalt med secure boot. Samtidigt om man inaktiverar mokutils nyckelkontroll kan man boota vad som helst därifrån. Gissar att det är så man kan göra. Så drar man igång en vanlig GRUB utan nyckelkontroll så kan man däriftån boota annat på osäkert sätt.

Ja jag har kört Arch Linux ganska länge nu. Kanske 10 år snart. Är väl både och. Kan ta tid att få det som man vill. Många uppdateringar hela tiden. Men man lär sig hur det funkar. På min laptop kör jag debian istället. Kan ta tid mellan gångerna och jobbigt att alltid behöva uppdatera saker om man kör Arch. Där vill jag ha det stabilt, bara starta och köra. När jag väl använder datorn är det ingen skillnad. Skrivbordet ser ungefär likadant ut. Går också åt båda hållen. Jaha vad smidigt det här var i debian då, vad kör de för att det ska bli så här? Sedan ändrar jag i min Arch så det funkar på samma sätt.

Man kan köra ZFS från debian backports. Version 2.1.5 som ligger där är hyfsat ny. Där finns också kärnor upp till 6.0, vilket är högre än vad ZFS 2.1.5 stödjer. Så kärna 5.18 och ZFS version 2.1.5 är nog högsta kombon i debian just nu som finns i bullseye-backports.

ZFS har varit problematiskt på Arch Linux då linuxkärnan oftast är nyare än vad ZFS officiellt stödjer. Då kan man köra linux-LTS kärnan men den är istället ganska gammal. Så debian är nog ändå ganska bra val för användning av ZFS.

Virtualisering på debian har jag dålig koll på. Kanske finns backportade programvaror för detta också. Fast om allt ska backportas kanske man hellre kör något annat.

Tackar för info. Jag har gjort VFIO passthrough av en GPU tidigare. Man dedikerar GPUn till virtuell maskin och gör den otillgänglig för hosten.

Verkar som att Windows 11 fungerar utan några märkbara problem även när secure boot inte är igång (bios var ställt i läge secure boot men i "setup mode", men windows 11 säger att hårdvarusäkerhet är OK i detta läget, men secure boot rapporteras som inte aktiverat). Ett alternativ skulle kunnat vara att behållit den i denna "setup mode" och kört vidare utan att aktivera secure boot. Vet inte om det hade vållat några problem i längden med Windows 11. Jag sparkade ändå igång secure boot "user mode" i bios och det gick också bra. Med "user mode" aktivt så rapporterade Windows 11 att det kör med "säker start" aktivt. Krypterade sedan windows-disken med bitlocker så jag fick i alla bockar på enhetssäkerhet.

Nästa steg blir att försöka få in Linux på en annan SSD.

Har bestämt mig att försöka få Arch Linux fungera med secure boot.

Hittade detta inlägg:
https://www.reddit.com/r/archlinux/comments/ug9pu0/sbctl_how_...

Så man kan generera efistub som inkluderar allt som behövs för att boota Arch Linux och signera den med egna nycklar som man lägger in i moderkortet i tillägg till microsofts nycklar. Då behövs inte shim så som jag förstår det. Arch kan man ställa in att generera efistub och signera den automatiskt i samband med uppgradering av kärna och bootloader.

Edit: Verkar inte jättekrångligt.
https://github.com/Foxboron/sbctl/wiki/Linux-Windows-Dual-Boo...