Debootstrap でDebianをインストールし、grub uefiをつかいセキュアブートさせる

debootstrapをつかってインストールしたDebianをsecure bootさせてみたのでそのメモです。
まず、gdiskをつかって、ターゲットディスクのパーティションを設定します。gdiskではgptをつかってパーティションを作成するようにします。また、初めのパーティションは当方では、サイズを512MBとし、typeをef00としました。これと最低限必要なパーティションは / (ルート) パーティションですが、これはtype 8300で作成するようにしました。
続いてフォーマットします。まず パーティション1 ですが、vfatでフォーマットします。パーティション2はお好きな形式でフォーマットしてかまいませんが、当方はxfsかext4かbtrfsのいずれかを使用する場合が多いです。
次にdebootstrapを使ってディスクにシステムをインストールしていきます。仮にターゲットディスクが/dev/sdc、一時マウント先が/mntとすると、以下のようにします。

sudo su
mount /dev/sdc2 /mnt
mkdir -p /mnt/boot/efi
mount /dev/sdc1 /mnt/boot/efi

apt-get install debootstrap
cd /mnt
debootstrap bullseye .
chroot /mnt
# rootのパスワード設定
passwd
apt-get update
apt-get install linux-image-amd64
exit

cd /mnt/etc
blkid /dev/sdc2 > fstab
blkid /dev/sdc1 >> fstab

# fstabを編集し、起動後マウントできるようにしておく。
vi fstab

#fstab例
UUID=a8261262-73bf-4595-8cab-XXXXXXXXXXXX       /       xfs     defaults 0 0
UUID=46C4-YYYY                                  /boot   vfat    defaults 0 0


#その他必要な設定をここで行っておく。
vi /mnt/etc/network/interfaces
...

ターゲットディスクのシステムインストールが済んだら、grubでセキュアブートできるようにします。コマンドはおよそ以下の通りです。

apt-get install grub-efi

# 1. インストールしたusbを他の端末でセキュアブートさせない場合
grub-install --target=x86_64-efi --efi-directory=/mnt/boot/efi --boot-directory=/mnt/boot --bootloader-id=Debian /dev/sdc

# 2. インストールしたusbを他の端末でセキュアブートさせる場合
grub-install --target=x86_64-efi --efi-directory=/mnt/boot/efi --boot-directory=/mnt/boot --removable


mount -o bind /dev /mnt/dev
mount -t proc proc /mnt/proc
mount -t sysfs sysfs /mnt/sys

chroot /mnt

apt-get install grub-efi
update-grub

exit

umount /mnt/dev
umount /mnt/proc
umount /mnt/sys

基本的なインストールは以上です。後は再起動させ

1.の場合は、PCのブート元をDebianにし起動させ、続いてgrubのメニューが出てくればOK
2.の場合は、
2-1 初回起動時、blue スクリーンで boot option restrationと表示され、なにかキーを入力すると、boot option restoredと表示される。
2-2 reset system, continue boot, always continue bootのメニューがあらわれるので、continu bootを矢印キーで選択し、エンターキーを入力。
2-3 続いてgrubのメニューが出てくればOKなので、次回以降起動時は、always continue bootを選択すると、grubのメニューが自動的に呼び出される。

今回は以上です。それでは。