Debian 13: інсталяція без драми — UEFI, Wi‑Fi, non‑free прошивка

Непохитні принципи

1) Вирішіть наперед: UEFI + GPT, або не морочтеся. На сучасних системах UEFI — це реальність за замовчуванням. Сприймати його як опцію — це шлях до машини, яка завантажується «лише коли фаза місяця правильна» після наступного оновлення прошивки.

2) Ставтеся до прошивки як до залежності, а не до морального спору. Якщо ваш Wi‑Fi або GPU потребує бінарної прошивки, це не ознака поганого характеру. Це вхідний параметр до вашого білду. Обробіть його явно — і ви перестанете витрачати години на пошуки зниклих пристроїв.

3) Зробіть інсталяцію відтворюваною. «Я натиснув те, що запропонував інсталятор» — це не раннуб. Вам потрібна схема розділів, яку можна пояснити, добір пакетів, який можна аудіювати, і постінсталяційні кроки, які можна повторно виконати.

4) Не оптимізуйте під час інсталяції. Ви укладаєте рейки, а не перегони. Використовуйте налаштування за замовчуванням, які просто відлагоджуються, а потім тонізуйте з вимірюваннями.

5) Кожен вибір має зменшувати майбутній час простою. Надійність завантаження, надійність Wi‑Fi і чисті оновлення — це справжні KPI. Естетика може почекати.

Жарт #1: Secure Boot — як швейцар: круто, коли він знає список гостей, незручно, коли не впізнає вас.

Кілька корисних фактів (історія, яка і досі кусає)

• UEFI витіснив BIOS як основну прошивку завантаження за останнє десятиліття, але багато плат поставляються з перемикачами «CSM/Legacy», які плутають інсталяції, змішуючи режими.
• GPT (GUID Partition Table) — це частина стеку збереження даних епохи UEFI; він уникає обмежень MBR і робить конфігурації з кількома дисками менш схильними до помилок.
• Secure Boot впровадили, щоб зменшити можливість шкідливого ПЗ у часі завантаження через перевірку підписів; він також зробив «завантажити щось своє» більш свідомим кроком.
• Драйвери Linux для Wi‑Fi часто потребують окремих файлів прошивки; модуль ядра може бути присутній, але радіо буде недієздатне без потрібного прошивального файла.
• Debian історично розділяв «free» та «non‑free» компоненти; ця політика вплинула на доступність інсталяційних образів і на те, чому деякі роки люди отримували «немає Wi‑Fi» за замовчуванням.
• systemd-журнал змінив підхід до діагностики завантаження: тепер у вас є структуровані логи вже на ранніх етапах завантаження, а не лише те, що ви встигли побачити на екрані.
• NVMe став типовим сховищем у ноутбуках і настільки швидкий, що невдалі вибори файлової системи та підкачки проявляються як проблеми живлення/затримок, а не як очевидні обмеження пропускної здатності.
• Initramfs існує, щоб завантажувати модулі на ранньому етапі; відсутня прошивка часто проявляється тут як «пристрій не знайдено», хоча модуль технічно буде встановлено пізніше.

Перевірки перед завантаженням інсталятора

Знайте, на що встановлюєте

Перш ніж торкатися Debian, підтвердіть режим платформи та розмітку сховища. Якщо ви на ноутбуку, також варто дізнатися, чи Wi‑Fi — Intel (зазвичай безболісно) або Realtek/Broadcom (часто залежить від прошивки і інколи вередливе).

Рішення, які треба прийняти зараз:

• Тільки режим UEFI (рекомендовано) проти legacy/CSM (уникати, якщо немає жорсткої вимоги).
• Залишити Secure Boot увімкненим і зареєструвати ключі чи вимкнути Secure Boot (обидва варіанти валідні; оберіть навмисно).
• Встановлювати з Ethernet або tethering телефону проти покладатися на Wi‑Fi під час інсталятора.
• Шифрування диска (LUKS) чи ні; якщо так, вирішіть, чи шифрувати також swap і як ви будете діяти при віддаленому відновленні.

Чого уникати, як продакшн-аутейджу

• Змішування legacy і UEFI завантаження між встановленнями ОС. Dual‑boot — норм, але dual‑boot у двох різних режимах — хаос.
• Випадкова розмітка, що створює кілька ESP «на всякий випадок». Один ESP на машину зазвичай достатній, хіба що у вас дуже специфічний multi‑disk дизайн завантаження.
• Припущення, що Wi‑Fi «просто працюватиме». Плануйте прошивку. Плануйте відсутність мережі. Плануйте додавання пакетів після першого завантаження.

Non‑free прошивка: що це, чому потрібна і як робити це акуратно

Прошивка — це не драйвер. Це бінарний пакет, який пристрою потрібен, щоб прокинутися і працювати. Модуль ядра може бути присутній і завантажений, але пристрій залишиться мертвим, бо не може отримати потрібний файл прошивки. Саме тому ви бачите повідомлення типу «failed to load iwlwifi-*.ucode» і потім тишу в радіо.

У Debian практична реальність така: багато сучасного обладнання потребує прошивки, яка не входить у чисто «вільне програмне забезпечення». Пакетування Debian еволюціонувало, і інсталяції епохи Debian 13 набагато менш драматичні, ніж раніше — але вам все одно потрібно гарантувати, що середовище інсталятора може отримати пакети прошивки в потрібний момент.

Здоровий підхід

• Використовуйте інсталяційні медіа з підтримкою прошивок, коли встановлюєте на ноутбуки без Ethernet.
• Після інсталяції явно увімкніть потрібні компоненти APT, щоб оновлення не погіршили підтримку обладнання.
• Встановлюйте лише ті прошивки, які потрібні, якщо ви не будуєте універсальний образ для різних моделей пристроїв.

Два типові режими відмов

• Інсталятор не бачить Wi‑Fi: модуль завантажується, прошивка відсутня; або пристрій потребує новішої прошивки, ніж на медіа.
• Після оновлення Wi‑Fi помирає: ви одного разу встановили прошивку з локального .deb, але не налаштували APT для отримання оновлень прошивки.

UEFI/GPT правильно (і як не вивести завантаження з ладу)

UEFI в одній параграфі

У режимі UEFI прошивка системи читає записи завантаження з NVRAM і завантажує EFI‑бінарник з EFI System Partition (ESP), зазвичай змонтованого в /boot/efi. GRUB (або systemd-boot) живе там і вказує на ваш kernel/initramfs у файловій системі Linux. Якщо ваш ESP відсутній, не змонтований або відформатований неправильно, ви «успішно встановите» систему, а потім перезавантажитесь у ніщо.

Secure Boot: оберіть шлях

У вас є два операційно валідні варіанти:

• Вимкнути Secure Boot у налаштуваннях прошивки. Простіше. Менше рухомих частин. Трохи слабша гарантія ланцюжка завантаження.
• Залишити Secure Boot увімкненим і переконатися, що ваш шлях bootloader/kernel підписаний належним чином. Більш безпечно. Більше складності при додаванні модулів поза деревом (думаємо про незвичні Wi‑Fi, драйвери NVIDIA, ZFS DKMS).

Якщо це ноутбук, з яким ви подорожуєте, я схиляюся до збереження Secure Boot увімкненим тільки якщо ви готові розглядати підписування як частину життєвого циклу системи. Якщо ви робите dev‑робоче місце і регулярно завантажуєте сторонні модулі ядра — вимкніть Secure Boot і живіть далі без зайвих турбот.

Розмір і розташування ESP

Зробіть ESP 512 MiB (або 1 GiB, якщо ви робите dual‑boot і тримаєте кілька ядер). FAT32. Встановіть правильний тип розділу. Змонтуйте його в /boot/efi. Тримайте його нудним. Нудне завантажується стабільно.

Wi‑Fi під час інсталяції: реалістичні варіанти

Інсталятор Debian хороший, але він не може витягти прошивку з повітря. Ось що реально працює на полі:

1. Ethernet. Золотий стандарт. Якщо можете підключитися на 20 хвилин — зробіть це.
2. USB tethering телефону. Дивовижно надійно. Більшість Android‑пристроїв представляють інтерфейс Ethernet‑over‑USB, який Debian може використати без Wi‑Fi прошивки.
3. Інсталяційне медіа з прошивкою. Добре для ноутбуків без Ethernet і для сайтів, де «інтернет під час інсталяції» заборонено.
4. Принесіть прошивку на другому USB. Працює, коли інсталятор запитує прошивку; ви надаєте файли. Менш зручно, але інколи єдиний варіант у обмежених середовищах.

Жарт #2: Прошивка Wi‑Fi — це єдина проблема «завантажити, щоб отримати інтернет», яка продовжує з’являтися в нових і захопливих варіантах.

Моя порада: не ризикуйте з Wi‑Fi під час інсталяції, якщо можете уникнути. Використайте Ethernet або tethering, завершіть базову інсталяцію, а потім налаштовуйте та тонізуйте Wi‑Fi, коли ви завантажитесь у реальне ядро з реальними логами.

Розділення диска: нудно, правильно і швидко відновлюване

Схема розділів, яка не здивує вас пізніше

Для типової однодискової Debian 13 ноутбук/робоча станція з UEFI:

• ESP: 512 MiB, FAT32, змонтовано в /boot/efi.
• / (root): ext4, розмір для ОС + додатків (30–80 GiB зазвичай підходить; більше, якщо ви використовуєте контейнери або важке тулінг).
• swap: опційно; якщо потрібна гібернація, розмір відповідний. Інакше невеликий swap (або його відсутність) може бути прийнятним в залежності від RAM і навантаження.
• /home: опційний окремий розділ; корисно, якщо ви часто перевстановлюєте систему, менш корисно якщо у вас хороші бекапи і ви не наслідуєте старі звички.

Шифрування

Якщо машина залишає ваш стіл — використовуйте повне шифрування диска. LUKS з зашифрованим кореневим томом — це базовий «я можу спати спокійно» рівень. Якщо ви увімкнете Secure Boot і шифрування диска, пам’ятайте, що ви калібруєте складність: керовано, але лише якщо документуєте кроки відновлення.

Вибір файлової системи

ext4 залишається операційно заспокійливим вибором. Так, btrfs і ZFS мають фічі; вони також мають операційні профілі. Якщо ви не готові моніторити scrub статус, керувати політикою снепшотів і розуміти модулі initramfs при завантаженні, оберіть ext4. Ваше майбутнє «я» буде менш креативним під час аутейджів.

Практичні завдання (команди, виводи, рішення)

Це «зроби те, прочитай вивід, виріши» завдання. Виконуйте їх під час інсталяції (за можливості з shell) або одразу після першого завантаження.

Завдання 1: Підтвердити, що ви завантажили інсталятор у режимі UEFI

cr0x@server:~$ ls /sys/firmware/efi
config_table  efivars  fw_platform_size  runtime  runtime-map  systab  vars

Що це означає: Якщо існує /sys/firmware/efi, ви в режимі UEFI.

Рішення: Якщо його немає, перезавантажтеся і виберіть UEFI‑запис для вашого USB у меню прошивки. Не продовжуйте в legacy‑режимі, якщо немає специфічної причини.

Завдання 2: Перевірити стан Secure Boot

cr0x@server:~$ mokutil --sb-state
SecureBoot enabled

Що це означає: Secure Boot увімкнено. Якщо показано disabled, накладення підписів не застосовується.

Рішення: Якщо плануєте DKMS‑модулі (NVIDIA, ZFS, специфічні Wi‑Fi), або налаштуйте підписування, або вимкніть Secure Boot зараз, щоб уникнути нічних сюрпризів.

Завдання 3: Встановити диск і підтвердити GPT

cr0x@server:~$ lsblk -o NAME,SIZE,TYPE,MODEL
NAME         SIZE TYPE MODEL
nvme0n1    953.9G disk Samsung SSD 990
nvme0n1p1   512M part 
nvme0n1p2    80G part 
nvme0n1p3   873G part

Що це означає: У вас NVMe диск з трьома розділами; ймовірно ESP, root і home/data.

Рішення: Якщо бачите несподівані диски (USB‑накопичувач, старий SATA‑диск), зупиніться і перевірте ще раз. Встановлення на неправильний диск — класична необов’язкова помилка.

Завдання 4: Перевірити, що ESP правильний (FAT32, змонтований)

cr0x@server:~$ findmnt /boot/efi
TARGET    SOURCE     FSTYPE OPTIONS
/boot/efi /dev/nvme0n1p1 vfat   rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,utf8,errors=remount-ro

Що це означає: ESP змонтовано і це VFAT. Добре.

Рішення: Якщо findmnt нічого не показує, змонтуйте його і виправте /etc/fstab перед тим, як шукати проблеми з завантажувачем.

Завдання 5: Підтвердити, що система створила записи UEFI

cr0x@server:~$ sudo efibootmgr -v
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0001,0002
Boot0001* UEFI OS	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\BOOT\BOOTX64.EFI)
Boot0002* debian	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\debian\grubx64.efi)
Boot0003* debian (fallback)	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\BOOT\BOOTX64.EFI)

Що це означає: NVRAM має записи. Ви не покладаєтеся на «що прошивка вгадає».

Рішення: Якщо efibootmgr не показує нічого Debian‑подібного, ймовірно ви встановили в legacy‑режимі або ESP не було змонтовано під час інсталяції GRUB.

Завдання 6: Знайти ваш Wi‑Fi пристрій і поєднання драйвер‑прошивка

cr0x@server:~$ lspci -nnk | sed -n '/Network controller/,+4p'
03:00.0 Network controller [0280]: Intel Corporation Wi-Fi 6E(802.11ax) [8086:51f0]
	Subsystem: Intel Corporation Device [8086:0094]
	Kernel driver in use: iwlwifi
	Kernel modules: iwlwifi

Що це означає: Драйвер прив’язаний (iwlwifi), що — добрий початок.

Рішення: Якщо «Kernel driver in use» порожній, вам може знадобитися новіше ядро, відсутній модуль або налаштування BIOS (рідко). Якщо модуль присутній, але Wi‑Fi все ще не працює, підозрівайте прошивку.

Завдання 7: Побачити помилки завантаження прошивки у логах ядра

cr0x@server:~$ dmesg -T | grep -iE 'firmware|iwlwifi|rtl|brcm' | tail -n 8
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: loaded firmware version 77.2df8986f.0 ty-a0-gf-a0-77.ucode op_mode iwlmvm
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: Detected Intel(R) Wi-Fi 6E AX211 160MHz
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: base HW address: 70:1a:xx:xx:xx:xx

Що це означає: Прошивка завантажилась успішно. Якщо ви бачили «failed to load firmware», це ваш димлячий доказ.

Рішення: Успішне завантаження прошивки означає, що далі ви переходите до RF‑kill, конфігурації NetworkManager або регуляторних налаштувань — не до пакетів прошивки.

Завдання 8: Перевірити RF‑kill (так, це ще трапляється)

cr0x@server:~$ rfkill list
0: phy0: Wireless LAN
	Soft blocked: no
	Hard blocked: no

Що це означає: Wi‑Fi не заблоковано через програму чи апаратний переключач.

Рішення: Якщо hard blocked — шукайте клавішну комбінацію ноутбука або перемикач у BIOS. Якщо soft blocked — rfkill unblock all ваш наступний крок.

Завдання 9: Підтвердити, що APT компоненти включають прошивки

cr0x@server:~$ grep -R "^[[:space:]]*deb " /etc/apt/sources.list /etc/apt/sources.list.d/*.list 2>/dev/null
/etc/apt/sources.list:deb http://deb.debian.org/debian trixie main contrib non-free non-free-firmware
/etc/apt/sources.list:deb http://deb.debian.org/debian-security trixie-security main contrib non-free non-free-firmware
/etc/apt/sources.list:deb http://deb.debian.org/debian trixie-updates main contrib non-free non-free-firmware

Що це означає: Ви будете отримувати оновлення прошивки через звичайні оновлення.

Рішення: Якщо non-free-firmware відсутній, додайте його і запустіть apt update перед тим, як шукати фантомні проблеми з драйверами.

Завдання 10: Встановити пакет прошивки, який вам реально потрібен

cr0x@server:~$ sudo apt update
Hit:1 http://deb.debian.org/debian trixie InRelease
Hit:2 http://deb.debian.org/debian-security trixie-security InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
All packages are up to date.

cr0x@server:~$ sudo apt install -y firmware-iwlwifi
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
  firmware-iwlwifi
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 7,248 kB of archives.
After this operation, 26.1 MB of additional disk space will be used.
Fetched 7,248 kB in 1s (7,102 kB/s)
Selecting previously unselected package firmware-iwlwifi.
(Reading database ... 214532 files and directories currently installed.)
Preparing to unpack .../firmware-iwlwifi_20250115-1_all.deb ...
Unpacking firmware-iwlwifi (20250115-1) ...
Setting up firmware-iwlwifi (20250115-1) ...
update-initramfs: Generating /boot/initrd.img-6.12.0-1-amd64

Що це означає: Прошивка встановлена і initramfs оновлено, що важливо для ранньої ініціалізації пристрою.

Рішення: Перезавантажтеся, якщо Wi‑Fi не з’явився відразу. Якщо досі відсутній, поверніться до dmesg і переконайтесь, що ім’я файлу прошивки збігається з тим, що встановлено.

Завдання 11: Підтвердити, що NetworkManager бачить Wi‑Fi і може сканувати

cr0x@server:~$ nmcli dev status
DEVICE  TYPE      STATE      CONNECTION
wlan0   wifi      disconnected --
lo      loopback  unmanaged  --
enp0s31f6 ethernet unavailable --

cr0x@server:~$ nmcli dev wifi list | head
IN-USE  BSSID              SSID          MODE   CHAN  RATE        SIGNAL  BARS  SECURITY
        50:aa:bb:cc:dd:ee  corp-guest    Infra  36    540 Mbit/s  72      ▂▄▆_  WPA2
        d4:11:22:33:44:55  corp-secure   Infra  11    195 Mbit/s  60      ▂▄▆_  WPA2 802.1X

Що це означає: Радіо працює і сканує мережі.

Рішення: Якщо скани нічого не повертають, дивіться на RF‑kill, регуляторний домен або зламане поєднання драйвер/прошивка.

Завдання 12: Перевірити DNS проти маршрутизації (розділення «є Wi‑Fi, але немає інтернету»)

cr0x@server:~$ ip route
default via 192.168.1.1 dev wlan0 proto dhcp metric 600
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.50 metric 600

cr0x@server:~$ resolvectl status | sed -n '1,18p'
Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub
Current DNS Server: 192.168.1.1
       DNS Servers: 192.168.1.1

Що це означає: У вас є маршрут за замовчуванням і DNS‑сервер. Це мінімум для підключення.

Рішення: Якщо маршрут існує, але DNS порожній або невірний — виправте DNS. Якщо DNS є, але немає маршруту за замовчуванням — виправте DHCP або статичну конфігурацію.

Завдання 13: Швидко перевірити помилки завантаження через journalctl

cr0x@server:~$ journalctl -b -p err..alert --no-pager | tail -n 12
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: Failed to load firmware chunk!
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: firmware: failed to load iwlwifi-ty-a0-gf-a0-77.ucode (-2)
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: Direct firmware load for iwlwifi-ty-a0-gf-a0-77.ucode failed with error -2

Що це означає: Помилка -2 — це «файл не знайдено». Це пакетна/конфігураційна проблема, а не «Wi‑Fi проклято».

Рішення: Встановіть відповідний пакет прошивки і переконайтесь, що APT має non-free-firmware; при потребі перебудуйте initramfs.

Завдання 14: Переконатися, що GRUB встановлений для UEFI

cr0x@server:~$ dpkg -l | grep -E '^ii\s+grub-efi-amd64'
ii  grub-efi-amd64  2.12-3  amd64  GRand Unified Bootloader, version 2 (EFI-AMD64 version)

Що це означає: Правильний пакет GRUB для UEFI встановлено.

Рішення: Якщо бачите тільки grub-pc, ви в legacy‑території. Вирішіть, чи перевстановити належним чином у UEFI‑режимі замість тимчасових латок.

Завдання 15: Перевірити, що fstab не саботує завантаження

cr0x@server:~$ sudo findmnt --verify
Success, no errors or warnings detected

Що це означає: Ваші монтування консистентні; немає відсутніх UUID, які кинули б вас в emergency‑режим.

Рішення: Якщо перевірка не вдалася — виправте /etc/fstab зараз. Зламаний fstab — це відкладений аутейдж.

Завдання 16: Підтвердити, що initramfs містить потрібні модулі (при налагодженні раннього завантаження)

cr0x@server:~$ lsinitramfs /boot/initrd.img-$(uname -r) | grep -E 'iwlwifi|firmware|nvme' | head
usr/lib/firmware
usr/lib/firmware/iwlwifi-ty-a0-gf-a0-77.ucode
usr/lib/modules/6.12.0-1-amd64/kernel/drivers/net/wireless/intel/iwlwifi/iwlwifi.ko

Що це означає: Прошивка і модуль знаходяться в initramfs; раннє завантаження повинно змогти підняти пристрій.

Рішення: Якщо відсутні — запустіть update-initramfs -u після встановлення прошивки; потім перезавантажтеся.

Швидкий плейбук діагностики

Це «у вас 10 хвилин до наради» робочий процес. Він впорядкований для швидкого знаходження вузького місця, а не для філософської повноти.

1) Режим завантаження і ланцюжок завантаження (UEFI‑проблеми маскуються під «Debian зламався»)

1. Перевірте режим UEFI: ls /sys/firmware/efi
2. Перевірте монтування ESP: findmnt /boot/efi
3. Перевірте записи NVRAM: efibootmgr -v
4. Перевірте, що впало при завантаженні: journalctl -b -p err..alert

Ймовірне вузьке місце: ESP не змонтовано під час інсталяції GRUB, неправильний режим завантаження або скидання налаштувань прошивки.

2) «Немає Wi‑Fi» зазвичай — прошивка, стан блокування або неправильні компоненти APT

1. Ідентифікуйте пристрій/драйвер: lspci -nnk | sed -n '/Network controller/,+4p' (або lsusb для USB‑донглів)
2. Перевірте RF‑kill: rfkill list
3. Перевірте логи прошивки: dmesg -T | grep -i firmware
4. Підтвердьте, що APT має non-free-firmware: grep джерел, потім apt update

Ймовірне вузьке місце: відсутній пакет прошивки, інсталятор використовував лише офлайн‑репозиторій або апаратний перемикач.

3) «Wi‑Fi підключається, але інтернет мертвий» — це DNS або маршрутизація

1. Маршрут: ip route
2. DNS: resolvectl status
3. Ping шлюзу: ping -c 2 192.168.1.1
4. Ping IP: ping -c 2 1.1.1.1 (перевірка маршрутизації)
5. Ping ім’я: ping -c 2 debian.org (перевірка DNS)

Ймовірне вузьке місце: captive portal, зламаний DNS або корпоративна мережа, що вимагає 802.1X.

4) Повільне завантаження або зависання: знайдіть unit, що чекає

1. systemd-analyze time
2. systemd-analyze blame | head
3. systemd-analyze critical-chain

Ймовірне вузьке місце: очікування network-online, відсутні монтування в fstab або таймаут пристрою.

Цитата (парафразу): «Надія — не стратегія», часто цитують в операційній культурі; сприймайте це як нагадування інструментувати і перевіряти.

Поширені помилки: симптом → причина → виправлення

1) Симптом: Інсталятор завершується, після перезавантаження повертає в меню прошивки

Причина: Встановлено в legacy‑режимі або ESP не було змонтовано, тож немає UEFI‑запису/EFI‑бінарника встановлено правильно.

Виправлення: Перезавантажте інсталятор у UEFI‑режимі; переконайтеся, що ESP існує і змонтовано в /boot/efi перед встановленням GRUB. Перевірте efibootmgr -v.

2) Симптом: «Адаптер Wi‑Fi не знайдено» в GNOME/KDE

Причина: Відсутня прошивка; модуль завантажується, але пристрій не ініціалізується. Або пристрій апаратно заблокований.

Виправлення: Перевірте rfkill list і dmesg на помилки прошивки. Увімкніть non-free-firmware в APT і встановіть відповідний пакет прошивки (наприклад, firmware-iwlwifi).

3) Симптом: Wi‑Fi працює до оновлення ядра, потім зникає

Причина: Прошивка була встановлена один раз з носія або локально; джерела APT не включали non-free-firmware, тож оновлення не підхоплювали потребу нового ядра/драйвера.

Виправлення: Виправте /etc/apt/sources.list, додайте non-free-firmware, потім apt update і перевстановіть пакет прошивки; перебудуйте initramfs.

4) Симптом: Завантаження падає в emergency після інсталяції

Причина: Поганий запис у /etc/fstab: неправильний UUID, відсутній розділ або монтування, яке не може бути виконане (поширено з зовнішніми дисками).

Виправлення: Використайте findmnt --verify і blkid, щоб виправити UUID. Додайте nofail,x-systemd.device-timeout= для некритичних монтувань.

5) Симптом: Secure Boot увімкнено; DKMS‑модуль не завантажується

Причина: Модуль неподписаний; Secure Boot блокує його.

Виправлення: Або вимкніть Secure Boot, або зареєструйте Machine Owner Key і підписуйте модулі послідовно. Не налаштовуйте напівзаходів — напівзаходи гірші за відсутність.

6) Симптом: Wi‑Fi підключається, але сайти не завантажуються

Причина: Неправильний DNS або captive portal; іноді IPv6‑лише аномалії в корпоративних гостевих мережах.

Виправлення: Порівняйте ping 1.1.1.1 і ping debian.org. Якщо IP працює, а ім’я ні — виправте DNS (resolvectl status). Якщо ні працює — перевірте маршрутизацію та captive portal.

7) Симптом: У вас є ESP, але оновлення іноді «забувають» ваш запис завантаження

Причина: Оновлення прошивки скидають NVRAM‑записи; ваша система покладається на крихкий порядок записів.

Виправлення: Тримайте fallback EFI‑бінарник за шляхом \EFI\BOOT\BOOTX64.EFI (часто надається інструментами встановлення GRUB) і перевіряйте з efibootmgr -v. Також розгляньте оновлення налаштувань прошивки, щоб Debian‑запис був першим.

Чеклісти / покроковий план

План A: Чиста UEFI інсталяція (рекомендований за замовчуванням)

1. У налаштуваннях прошивки: встановіть режим завантаження тільки UEFI; вимкніть CSM/Legacy, якщо є.
2. Вирішіть щодо Secure Boot: або вимкніть його, або погодьтеся на підписування модулів у майбутньому.
3. Завантажте інсталятор Debian через UEFI‑запис.
4. У shell інсталятора (за потреби): підтвердьте UEFI‑режим через ls /sys/firmware/efi.
5. Розмітьте GPT:
   • ESP: 512 MiB, FAT32, змонтуйте /boot/efi
   • Root: ext4
   • Опційно: swap
   • Опційно: окремий /home
6. Вибирайте тільки потрібне в tasksel. Ролі desktop/server можна встановити пізніше.
7. Перший запуск: підтвердіть findmnt /boot/efi і efibootmgr -v.
8. Увімкніть компоненти APT, включно з non-free-firmware.
9. Встановіть пакети прошивки для вашого обладнання, перебудуйте initramfs, перезавантажтеся.
10. Запустіть оновлення, потім зафіксуйте «відомо добрий» стан (навіть якщо це просто список пакетів і diff конфігів).

План B: Ноутбук тільки з Wi‑Fi, без Ethernet

1. Віддавайте перевагу USB tethering телефону для доступу до мережі під час інсталяції.
2. Якщо tethering неможливий — використайте інсталяційне медіа з підтримкою прошивок і будьте готові встановити пакети прошивки після завантаження.
3. Після інсталяції: перевірте завантаження прошивки у dmesg, потім підтвердьте сканування через nmcli dev wifi list.
4. Лише після стабілізації Wi‑Fi: додавайте принтери, Bluetooth і все інше, що створює додаткові стани для налагодження.

План C: Корпоративне середовище (проксі, 802.1X, політики)

1. Під час інсталяції уникайте покладання на корпоративну Wi‑Fi авторизацію. Використовуйте Ethernet або tethering.
2. Після інсталяції налаштуйте сертифікати та профілі 802.1X за допомогою інструментів NetworkManager.
3. Раннє підтвердження NTP/часу; помилки TLS часто виглядають як «репозиторій недоступний», коли насправді «годинник не синхронізований».
4. Підтвердіть DNS‑суфікси та правила split‑DNS перед тим, як звинувачувати Debian.

Три міні-історії з корпоративного життя

Міні-історія 1: Інцидент через неправильне припущення

Команда розгорнула Debian‑ноутбуки для групи, що часто подорожує. Образ «стандартизували» і тестували на кількох девелоперських машинах, які всі випадково мали Intel Wi‑Fi. Припущення — ніколи не записане — було таке: «Linux Wi‑Fi тепер працює з коробки.»

Перший тиждень пройшов добре. Потім Procurement придбав другий вендор для тієї ж моделі через брак постачань. Та сама оболонка, інша ревізія Wi‑Fi чіпсета. Образ все ще інсталювався, але половина флоту з’являлася без мережевого інтерфейсу. Люди звинувачували DHCP, потім VPN, потім «нове ядро». Справжня причина була простішою: драйвер завантажувався, але специфічний бінарник прошивки для тієї ревізії відсутній, а APT‑джерела в образі не включали non-free-firmware.

Оскільки це були ноутбуки, «просто підключити Ethernet» не було універсальним обходом. Результат — ідеальна буря: зміна обладнання, відсутність залежності (прошивки) і немає надійного шляху відновлення (немає мережі для завантаження пакетів). Люди почали робити те, що роблять при стресі: копіювати випадкові файли прошивки з інтернету на USB і сподіватися.

Виправлення не було героїчним. Вони оновили базовий образ, включивши правильні компоненти APT, додали мінімальний набір прошивок для відомих чіпсетів і написали двосторінковий раннуб: як ідентифікувати чіпсет, як підтвердити завантаження прошивки і як відновлювати за допомогою tethering телефону. Інцидент не повторився — не тому, що всесвіт став добрішим, а тому що припущення замінили перевірками.

Міні-історія 2: Оптимізація, що обернулась проти

Інша організація хотіла «швидке завантаження» і «чисті диски», тож вони надумали хитру оптимізацію під час інсталяції. Вони зменшили ESP до крихітного розміру, бо «вона ж лише для boot файлів», тримали лише одне ядро і агресивно чистили пакети. Вони також увімкнули Secure Boot, але не хотіли операційного навантаження підписування понад дефолт.

Певний час все було нормально. Потім оновлення ядра принесло нову збірку GRUB і оновлений initramfs. ESP заповнилася. Оновлення GRUB виконалися частково, залишивши систему в стані, коли прошивка ще знаходила EFI‑бінарник, але завантажувач не завжди міг знайти потрібні kernel‑біти. Деякі машини завантажувались; інші — ні. Відмови виглядали випадково, що найгірше: це породжує забобони.

Відповідь спочатку зосередилась на «чому Debian пише стільки в ESP?» і «можемо стиснути initramfs?» Це неправильний напрямок. Правильний — прийняти, що зберігання дешеве, а аутейджі дорогі. Вони збільшили ESP до розумного розміру, перестали видаляти fallback boot файли і прийняли політику: тримати щонайменше два ядра встановленими та ніколи не оптимізувати простір без вимірюваного бюджету.

Провал не в оптимізації як такій; він у тому, що оптимізували неправильне обмеження. Розділи завантаження підводять у найгірші моменти, і ви не хочете хитромудростей, коли налагоджуєте сліпо на віддаленому сайті.

Міні-історія 3: Нудна, але правильна практика, що врятувала ситуацію

Одна команда мала звичку, що виглядала параноїдально: після кожного розгортання ОС вони запускали невеликий скрипт верифікації локально на машині. Він перевіряв UEFI‑режим, монтування ESP, стан Secure Boot, помилки завантаження прошивки і чи включені APT‑джерела з прошивками. Потім він зберігав вивід у тікеті.

Місяці потому оновлення прошивки від постачальника скинуло частину машин до завантаження з «UEFI OS» замість Debian‑запису. Машини все ще завантажувались — але через fallback‑шлях, і кілька граничних кейсів почали падати після подальших оновлень. Більшість організацій назвали б це «випадковою дивністю завантаження».

Ця команда не мусила гадати. Вони порівняли post‑update efibootmgr -v з раніше прикріпленими результатами в тікетах. Різниця була очевидна: BootOrder змінився, і Debian‑запис перестав бути першим. Виправлення було механічним: відновити BootOrder, переконатися, що існує fallback EFI‑бінарник, і задокументувати «оновлення прошивки може скидати NVRAM‑записи» як операційний ризик.

Це було нудно. Це було правильно. І це дозволило людині на чергуванні витратити 20 хвилин на виправлення систем замість двох ночей на створення нової релігії про UEFI.

FAQ

1) Користуватися графічним інсталятором чи текстовим?

Використовуйте той, з яким ви швидше. Різниця в тому, чи можете ви впасти в shell і перевірити UEFI‑режим, диски і потреби в прошивці. Обидва інсталятори дозволяють це зробити.

2) Чи потрібна non‑free прошивка на кожній інсталяції Debian 13?

Ні. Але на сучасних ноутбуках ймовірність того, що Wi‑Fi (а іноді Bluetooth) її потребуватиме, висока. Розглядайте це як «ймовірно», якщо ви не підтвердили, що ваш чіпсет працює без додаткових пакетів прошивки.

3) Чи безпечно ввімкнути non-free-firmware в APT?

Операційно — так. Ви не включаєте якийсь загадковий репозиторій; ви вмикаєте пакети прошивки Debian, щоб оновлення підтримували ваше обладнання. Ризик скоріше філософський, ніж технічний.

4) Мій Wi‑Fi пристрій — Realtek. Чого очікувати?

Очікуйте залежність від прошивки і інколи недосконалість драйверів. Перший крок завжди — dmesg для помилок завантаження прошивки і lspci -nnk, щоб підтвердити прив’язку драйвера. Якщо застрягли — розгляньте Ethernet/tethering для інсталяції і стабілізації після завантаження.

5) Чи варто тримати Secure Boot увімкненим?

Якщо ви хочете властивість безпеки і готові керувати підписуванням модулів — так. Якщо ви хочете безперешкодну роботу зі сторонніми модулями ядра — вимкніть його. Найгірший варіант — залишити його увімкненим і постійно виявляти, що ваші модулі не завантажуються у невідкладній роботі.

6) Чи потрібен окремий розділ /boot?

Зазвичай ні на UEFI‑системах. Потрібен ESP для EFI‑бінарників, але kernel/initramfs може жити в кореневому файловому просторі. Окремий /boot може допомогти з певними схемами шифрування, але це ще одна рухома частина.

7) ext4 чи btrfs для ноутбука: що би ви обрали?

ext4, якщо ви не цілеспрямовано зобов’язані до workflow зі снепшотами і розумієте історію відновлення. btrfs може бути чудовим, але «чудово» приходить з політикою: збереження снепшотів, регулярність scrub і інтеграція з завантаженням.

8) Як зрозуміти, чи «немає інтернету» через DNS або маршрутизацію?

Ping до IP (перевірка маршруту) і до хоста (DNS). Якщо ping 1.1.1.1 працює, а ping debian.org ні — це DNS. Якщо обидва не працюють — це маршрутизація, captive portal або проблеми канального рівня.

9) Який найшвидший спосіб дізнатися, чому останній запуск впав?

journalctl -b -p err..alert. Це дає помилки високої важкості без зайвого шуму. Потім розширюйте область пошуку за потреби.

10) Чи можна виправити зламане UEFI‑завантаження без перевстановлення?

Часто так: змонтуйте ESP, перевстановіть GRUB для EFI і відтворіть записи завантаження за допомогою efibootmgr. Але якщо ви встановили в legacy і хочете UEFI надалі, чиста перевстановлення інколи швидша і безпечніша ніж археологія завантаження.

Наступні кроки для стабільності

Debian 13 може бути інсталяцією без драми, якщо ви поставите режим завантаження, прошивку та мережу як первинні аспекти, а не післямову.

Зробіть ці кроки у такому порядку:

1. Задокументуйте факти завантаження: режим UEFI, стан Secure Boot, UUID/монтування ESP і вивід efibootmgr -v.
2. Забезпечте надійність прошивок: підтвердіть, що non-free-firmware в джерелах APT; встановіть правильний пакет прошивки; перевірте через dmesg.
3. Зробіть пост‑інсталяційну санітарну перевірку: findmnt --verify, journalctl -b -p err..alert і базова перевірка мережі (ip route, resolvectl status).
4. Лише потім налаштовуйте: десктопні поліпшення, додаткові репозиторії, сторонні драйвери і оптимізація продуктивності. Стабільність перш за все; стиль потім.

Якщо ви нічого іншого не зробите, пам’ятайте: інсталятор — це не фініш. Фініш — це машина, яка все ще завантажується і має Wi‑Fi після наступного оновлення ядра.