Clé USB multi-boot avec Ventoy
Ventoy est un utilitaire de démarrage multiboot open source, qui installe un bootloader minimal sur une clé USB et permet de démarrer directement des fichiers ISO. Ces fichiers ISO pourront être ajoutés ou supprimés à volonté de la clé USB.
Installation et configuration de Ventoy
Branchez votre clé USB et identifiez la avec lsblk.
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 465,8G 0 disk
├─sda1 8:1 0 94M 0 part /boot/efi
├─sda2 8:2 0 74,5G 0 part /
├─sda3 8:3 0 372,5G 0 part /home
└─sda4 8:4 0 18,6G 0 part [SWAP]
sdb 8:16 1 58,6G 0 disk
└─sdb1 8:17 1 58,6G 0 part
sr0 11:0 1 416M 0 ro
Ma clé est identifiée par sdb (donc /dev/sdb). Prenez soin d'adapter les commandes qui vont suivre selon votre configuration.
Notez également que le chemin de la clé par la suite sera sdb et pas sdb1 car Ventoy va utiliser la totalité de la clé qui sera entièrement formatée.
Toutes les données sur cette clé seront perdues.
Télécharger la dernière version de Ventoy ici ou là puis extraire l'archive après avoir vérifié la "checksum".
sha256sum ventoy-1.1.07-linux.tar.gz
4ffabce468b03d6357ce5f4594e209714d1509d065da102938096dad6654c36e ventoy-1.1.07-linux.tar.gz
À l'heure où j'écris ces lignes, la version de Ventoy est 1.1.07. Veillez à adapter vos commandes en fonction de la version que vous utilisez.
tar -xzf ventoy-1.1.07-linux.tar.gz
Rendez-vous dans le répertoire qui vient d'être décompressé et installer Ventoy.
cd ventoy-1.1.07/
sudo ./Ventoy2Disk.sh -s -i /dev/sdb
- L'option -i signifie simplement "install".
- L'option -s (Boot Secure) est indispensable pour "booter" avec les firmwares UEFI.
- On indique bien sdb pour utiliser toute la clé.
L'installation ne devrait pas prendre plus de quelques instants
writing data to disk ...
sync data ...
esp partition processing ...
Install Ventoy to /dev/sdb successfully finished.
Voilà! Vous pouvez désormais ajouter des images.iso sur votre nouvelle clé USB multiboot et pendant que la copie s'effectue, résumons la situation.
Lors de son installation, Ventoy crée deux partitions sur le support USB :
Une partition système en FAT32 de petite taille (~32Mo) qui contient le bootloader GRUB, les fichiers EFI et le système Ventoy.
Elle est masquée sous Linux pour éviter une modification accidentelle.Une partition pour les données en ExtFAT. Tout fichier ISO placé dans cette partition, même dans un sous-répertoire, apparaîtra dans le menu Ventoy au démarrage du PC. Vous pouvez placer ce que vous voulez dans cette partition, retenez simplement que seuls les fichiers ISO (même sans chargeur de démarrage) seront visibles dans le menu Ventoy.
La curiosité vous a peut-être poussé à fouiller dans le dossier de l'archive Ventoy et vous avez constaté qu'il existe plusieurs fichiers.sh.
- VentoyPlugson.sh : Interface graphique (GTK) pour configurer Ventoy, ajouter des options, gérer le Secure Boot, etc. Une autre manière d'éditer ventoy.json.
- UpdateByWeb.sh : Met à jour Ventoy sur la clé via internet, directement depuis Linux.
- BackupConfig.sh / RestoreConfig.sh : Sauvegarde ou restaure la configuration (ventoy.json).
- CreatePersistenceImg.sh : Sert à créer un fichier image persistant pour une distribution Linux live. Fonctionne avec les ISO Linux supportant le mode persistant (Ubuntu, Debian, Mint...).
Utilisation de Ventoy
Alors, l'affaire est dans le sac, me direz vous! On n'a plus qu'à brancher la clé et configurer le "BIOS/UEFI" pour qu'il démarre dessus!
Eh bien oui... et non. Oui, si l'ordinateur en question est suffisamment vieux et encore équipé d'un BIOS donc sans "Secure Boot" ou que le firmware UEFI possède déjà la clé de signature de Ventoy (MOK). Si au contraire, vous obtenez un écran bleu avec un message du genre :
ERROR Verification failed: (0x1a) Security violation
[OK]
C'est assurément que vous avez un firmware UEFI dont Secure Boot ne reconnait pas la signature Ventoy.
Dans ce cas deux solutions :
Désactiver Secure Boot. L'opération peut être simple comme elle peut s'avérer fastidieuse. Selon le constructeur il vous faudra définir un mot de passe BIOS, passer en mode “Setup Mode”, désactiver TPM temporairement, confirmer 2 ou 3 écrans, etc. Sans oublier qu'il serait imprudent de laisser Secure Boot désactivé si vous envisager d'installer Windows, mais vous ne voulez sans doute pas installer Windows!
Autoriser définitivement Ventoy à booter sur ce PC. C'est ce que je vais tenter de détailler ci-dessous tel que le problème s'est présenté à moi.
Après avoir cliqué sur [OK], le programme va nous demander si on souhaite fournir une clé (.cer) ou directement un "hash". On choisira donc plutôt "Enroll key from disk", car une clé fournie par Ventoy est déjà disponible sur le support USB.
L'étape suivante nous demande de choisir sur quel périphérique aller chercher cette clé. Sont affichés les volumes UEFI détectés. Pour accéder au fichier .cer, il faut sélectionner VTOYEFI, la petite partition EFI créée par Ventoy.
Enfin la dernière étape affiche les répertoires de cette partition et les fichiers .cer. Dans mon cas le fichier se trouve justement à la racine de cette partition, ENROLL_THIS_KEY_IN_MOKMANAGER.cer. Comme son nom le laisse entendre, c'est ce fichier qu'il faut choisir.
Il ne reste plus qu'à continuer pour valider ce choix et redémarrer le pc qui cette fois-ci, devrait afficher le menu Ventoy avec tous les fichiers ISO présents.
Après avoir sélectionné une distribution, l'étape suivante propose 3 possibilités :
- Boot in normal mode, c'est le mode que vous utiliserez dans 99% des cas.
- Boot in grub2 mode, c'est un mode qui donne accès à Grub pour d'éventuels débogages.
- File checksum, calcule la "checksum" du fichier ISO que vous souhaitez installer.
Même si nous avons autorisé Ventoy sur l'ordinateur, certaines distributions anciennes ou non officiellement signées (comme BunsenLabs, antiX, etc) peuvent échouer au démarrage.
Verifiying shim SBAT data failed: Security Policy Violation blabli blabla...Dans ce cas pas d'autre choix que de désactiver "Secure Boot". Mais après tout, sur Linux ce n'est pas vraiment un problème.
gogolplex.org