Встановлення Kali Linux 2025.4: безпечний спосіб (щоб не вивести ноутбук з ладу)

Правила: як не вивести ноутбук з ладу

Безпечне встановлення Kali — це не магічні команди. Це відмова від незворотних змін без плану відкату.

Правило 1: Ставтеся до внутрішнього диска як до продукційного

Диск вашого ноутбука — одиночна точка відмови з сентиментальною цінністю. На ньому не «експериментують». Змінюйте його з планом, з резервною копією і з шляхом повернення.

Правило 2: Віддавайте перевагу віртуалізації, якщо немає реальної потреби

Якщо ваша мета — вивчення інструментів, запуск лабораторій і участь у CTF, використовуйте VM. На «чистому металі» ставлять лише коли потрібен прямий доступ до апаратури (Wi‑Fi injection на конкретних чіпсетах, особливості GPU, зовнішні пристрої захоплення чи ви створюєте спеціалізований портативний пристрій).

Правило 3: Ніколи не довіряйте селектору дисків інсталятора

Інсталятори ввічливі. Вони залюбки знищать неправильний диск, показуючи правильну назву. Ваше завдання — довести ідентичність цільового диска за стабільними ідентифікаторами (модель NVMe + розмір + серійний номер, коли можливо).

Правило 4: Проблеми з завантаженням — нормальні; втрата даних — необов’язкова

GRUB можна виправити. EFI-записи можна відновити. Завантажувач Windows можна відновити. Те, що не відновити — це єдина копія ваших фото, SSH-ключів або пропозиції, яка була потрібна вчора.

Правило 5: «Працює зараз» — не означає «завантажиться після оновлень»

Багато випадків «виведення з ладу» відбуваються після першого оновлення ядра або зміни налаштувань прошивки. Інсталяція має пережити: оновлення ядра, перебудову initramfs і скидання BIOS.

Цитата, яку варто прикріпити до монітора: «Надія — не стратегія.» — перефразована ідея, що часто повторюється в операціях та колах надійності.

Цікаві факти та історичний контекст

• Kali замінив BackTrack у 2013 році, перейшовши від «дистрибутива‑інструменту» до більш структурованої Debian‑базованої платформи з відтворюваним пакуванням і кращою гігієною оновлень.
• Kali відслідковує Debian testing у багатьох областях, що ввічливо означає: ви отримуєте новіші інструменти швидше, але успадковуєте більше змін, ніж у стабільному робочому дистрибутиві.
• Ера UEFI стала стандартом для ПК у 2010‑х. Сьогодні більшість історій «не завантажується» насправді — «EFI‑запис зник або порядок завантаження змінився».
• Secure Boot виник як baseline епохи Windows для зменшення ризику bootkit. Підтримка Linux дозріла з часом, але кастомні ядра та неподписані модулі досі можуть викликати несподіванки.
• NVMe змінив режим відмов: він настільки швидкий, що інсталятори завершуються швидко, і втрачається час, який раніше давав шанс помітити, що обрано неправильний диск.
• Повнодискове шифрування стало масовим на ноутбуках у відповідь на зміну моделей крадіжок. Сучасні інсталяції мають передбачати втрату диска як неминучість і планувати відповідно.
• GRUB — не єдиний завантажувач. Є systemd-boot і вендорні менеджери завантаження, але GRUB залишається поширеним, бо добре справляється зі складним dual-boot і меню ядер — коли налаштований правильно.
• Ліцензування прошивки Wi‑Fi досі реальна проблема: ядро може підтримувати чіпсет, але пакет прошивки може не поставлятися за замовчуванням у деяких шляхах інсталяції.

Визначте шлях встановлення (VM, dual-boot або повне замінення)

Варіант A: VM (рекомендовано для більшості)

Використовуйте гіпервізор і зберігайте хост‑ОС стабільним. Створюйте знімки. Відкатуйтеся. Не чіпайте свій ESP о 2 годині ночі. Компроміс: Wi‑Fi injection і деякі USB‑пристрої можуть працювати не зовсім зручно, а продуктивність обмежена ресурсами хоста.

Варіант B: Dual-boot (стримано, але припустимо за дисципліни)

Dual‑boot підходить, якщо ви готові миритися зі складністю завантажувача і поважати межі розділів. Ризик не теоретичний: оновлення Windows можуть переписувати пріоритети завантаження; оновлення Linux змінюють GRUB; оновлення прошивки можуть видалити EFI‑записи.

Варіант C: Повне замінення (найпростіш історія завантаження, найбільша відданість)

Затирання диска — найпростіший варіант інсталяції. Це також найпростіше пошкодувати. Робіть це тільки якщо ноутбук призначений виключно для Kali або у вас є перевірена, протестована резервна копія всього, що вам важливо.

Правило прийняття рішення: якщо ви не можете пояснити свій план розмітки на папері — не робіть dual‑boot. VM до тих пір, поки зможете.

Перевірка перед початком: проінвентаризуйте машину перед роботою з дисками

Це місце, де ви запобігаєте 80% катастроф. Ви відповісте на три питання: який диск це, як відбувається завантаження і що на ньому зараз знаходиться?

Завдання 1: Підтвердьте режим завантаження (UEFI чи legacy)

cr0x@server:~$ [ -d /sys/firmware/efi ] && echo UEFI || echo Legacy
UEFI

Що це означає: Якщо ви бачите UEFI, слід встановлювати Kali у режимі UEFI і використовувати EFI System Partition (ESP). Якщо Legacy, зупиніться і перегляньте рішення — більшість сучасних машин має працювати в UEFI. Змішування режимів — класика «завантажується один раз, а потім вже ні».

Рішення: Якщо увімкнено legacy, переключіться на UEFI у налаштуваннях прошивки, якщо тільки у вас немає суворої вимоги інакше.

Завдання 2: Ідентифікуйте диски та розміри (щоб не стерти не той)

cr0x@server:~$ lsblk -o NAME,MODEL,SIZE,TYPE,FSTYPE,MOUNTPOINTS
NAME        MODEL               SIZE TYPE FSTYPE MOUNTPOINTS
nvme0n1     SAMSUNG MZVLQ512H 476.9G disk
├─nvme0n1p1                     260M part vfat   /boot/efi
├─nvme0n1p2                      16M part
├─nvme0n1p3                   300.0G part ntfs
└─nvme0n1p4                   176.6G part ntfs
sda         SanDisk Ultra USB   57.3G disk
└─sda1                             57G part exfat

Що це означає: У вас є внутрішній NVMe (nvme0n1) і зовнішній USB (sda). Зверніть увагу на модель і розмір. ESP вже присутній (vfat у /boot/efi).

Рішення: Запишіть ім’я внутрішнього диска та розмір. Перевірте його ще раз перед розміткою.

Завдання 3: Підтвердьте тип таблиці розділів (GPT чи MBR)

cr0x@server:~$ sudo parted -l | sed -n '1,40p'
Model: Samsung SSD (nvme)
Disk /dev/nvme0n1: 512GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Що це означає: GPT — сучасний стандарт з UEFI. Добре. Якщо на UEFI‑лаптопі ви бачите MBR/msdos, ви все ще можете завантажитися, але підписуєтесь на дивні крайові випадки.

Рішення: Залишайте GPT для UEFI‑інсталяцій.

Завдання 4: Перевірте стан Secure Boot (з Linux, якщо можливо)

cr0x@server:~$ mokutil --sb-state
SecureBoot enabled

Що це означає: Secure Boot увімкнено. Kali може працювати з ним у деяких конфігураціях, але кастомні модулі ядра (NVIDIA, VirtualBox, деякі драйвери Wi‑Fi) часто ускладнюють ситуацію.

Рішення: Якщо потрібні сторонні модулі або ви не готові реєструвати ключі, подумайте про відключення Secure Boot. Якщо це корпоративний ноутбук з політикою, не боріться з прошивкою — використовуйте VM.

Завдання 5: Отримайте поточні EFI‑записи (щоб відновити пізніше)

cr0x@server:~$ sudo efibootmgr -v
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0001,0002
Boot0001* Windows Boot Manager  HD(1,GPT,...)File(\EFI\Microsoft\Boot\bootmgfw.efi)
Boot0002* UEFI: SanDisk, Partition 1  PciRoot(...)USB(...)HD(1,...)File(\EFI\BOOT\BOOTX64.EFI)
Boot0003* UEFI OS  HD(1,GPT,...)File(\EFI\debian\grubx64.efi)

Що це означає: Машина наразі завантажується через «UEFI OS», що вказує на Debian‑подібний шлях до GRUB. Windows Boot Manager все ще присутній.

Рішення: Збережіть цей вивід (фото, нотатки). Якщо EFI‑записи зникнуть, ви їх відтворите.

Завдання 6: Перевірте доступну оперативну пам’ять і сигнали стану диска

cr0x@server:~$ free -h
               total        used        free      shared  buff/cache   available
Mem:            15Gi       2.1Gi       9.8Gi       200Mi       3.1Gi        12Gi
Swap:            0B          0B          0B

Що це означає: Достатньо пам’яті для інсталяції і майбутніх тулчейнів. Мало оперативної пам’яті робить деякі десктоп‑інсталяції болючими і штовхає вас до легших середовищ.

Рішення: Якщо у вас 8 GiB або менше — подумайте про легший десктоп або VM з налаштованими ресурсами.

cr0x@server:~$ sudo smartctl -H /dev/nvme0n1
smartctl 7.4 2023-08-01 r5530 [x86_64-linux-6.6.0-amd64] (local build)
=== START OF SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

Що це означає: Стан диска OK. Якщо SMART повідомляє про помилки, нічого не встановлюйте. Замініть накопичувач спочатку.

Рішення: Будь‑яке попередження SMART — це стоп‑знак, а не пораду.

Перевірте ISO і створіть USB, який не обманює

«Інсталятор впав» часто означає «флешка погана» або «ISO завантажено з помилкою». Ви перевірите обидва. Так, навіть якщо у вас швидкий інтернет. Особливо якщо у вас швидкий інтернет.

Завдання 7: Перевірте контрольну суму ISO

cr0x@server:~$ sha256sum kali-linux-2025.4-installer-amd64.iso
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855  kali-linux-2025.4-installer-amd64.iso

Що це означає: Ви отримуєте SHA‑256 хеш. Порівняйте його з офіційною опублікованою хеш‑сумою для точно цього файлу. Якщо не співпадає — не записуйте на USB.

Рішення: Невідповідність означає повторне завантаження; повторна невідповідність — підозрівайте дзеркало або проблеми з носієм.

Завдання 8: Ідентифікуйте USB‑пристрій перед записом

cr0x@server:~$ lsblk -o NAME,SIZE,MODEL,TRAN
NAME      SIZE MODEL               TRAN
nvme0n1 476.9G SAMSUNG MZVLQ512H   nvme
sda      57.3G SanDisk Ultra USB   usb

Що це означає: USB — це /dev/sda. Не /dev/sda1. Весь диск.

Рішення: Якщо ви не на 110% впевнені, який пристрій — від’єднайте USB і виконайте команду знову.

Завдання 9: Запишіть ISO за допомогою dd (обережно) і sync

cr0x@server:~$ sudo dd if=kali-linux-2025.4-installer-amd64.iso of=/dev/sda bs=4M status=progress conv=fsync
1736441856 bytes (1.7 GB, 1.6 GiB) copied, 12 s, 145 MB/s
...
4700000000 bytes (4.7 GB, 4.4 GiB) copied, 38 s, 124 MB/s

Що це означає: Дані записані безпосередньо на USB‑пристрій. conv=fsync змушує скидання буферів, щоб ви не виймали рано і не отримали «іноді завантажується» флешку.

Рішення: Якщо швидкість запису нестабільна або з’являються помилки — використайте інший USB. Дешеві носії — тихий убивця проектів на вихідні.

Жарт №1: Якщо флешка була безкоштовною на конференції, вона тут, щоб навчити вас інженерії надійності.

Завдання 10: Валідуйте записане носій (швидка перевірка)

cr0x@server:~$ sudo cmp -n 1048576 kali-linux-2025.4-installer-amd64.iso /dev/sda && echo "First 1MiB matches"
First 1MiB matches

Що це означає: Перші 1 МіБ збігаються з ISO. Це не доводить ідеальний стан флешки, але швидко ловить поширені помилки запису.

Рішення: Якщо це не пройшло — перезапишіть; якщо двічі не проходить — замініть носій.

UEFI/BIOS налаштування: Secure Boot, TPM і справжній порядок завантаження

Налаштування прошивки — це місце, де ноутбуки ховають проблеми. Ваша мета — стабільне завантаження, а не релігійне дотримання налаштувань за замовчуванням.

Secure Boot: вибір свідомо

Якщо хочете найчистішого досвіду — вимкніть Secure Boot для Kali. Якщо політика вимагає Secure Boot, готуйтеся до підписаних ядер/модулів і, можливо, реєстрації MOK.

Практична позиція: для персонального ноутбука вимкніть Secure Boot, якщо ви не розумієте, навіщо він вам; для корпоративного — не встановлюйте Kali на «чистий метал», якщо не маєте дозволу і не готові до політики.

TPM і BitLocker (реальність dual-boot з Windows)

На системах Windows з BitLocker зміни в конфігурації завантаження можуть викликати запити ключа для відновлення. Це не проблема Kali; це Windows, що захищає. Отримайте і збережіть recovery key перед зміною розділів або завантажувачів.

Fast Boot і особливості «Windows Modern Standby»

Вимкніть Windows Fast Startup перед dual‑boot. Це може залишити NTFS у сплячому стані і Linux побачить його як «unclean». Це призводить до монтування тільки для читання або, гірше, ви змушуєте монтувати і пошкоджуєте файлову систему.

Порядок завантаження: не покладайтеся на нього, керуйте ним

UEFI порядок завантаження — не догма. Оновлення прошивки і OS змінюють його. Безпечна практика: зберігайте чистий ESP, зберігайте Windows Boot Manager непошкодженим і переконайтеся, що можете вручну вибрати запис завантаження з меню прошивки.

Розмітка диска, що переживе оновлення (і ваше майбутнє «я»)

Найкращий план розмітки — той, який ви зможете пояснити під стресом. Він має бути простим, промаркованим і відновлюваним. Складність доречна на серверах; ноутбуки — місце, де складність гине.

Рекомендовані схеми

Схема 1: Одноразовий Kali (UEFI) з шифруванням

• ESP (існуючий або новий): 512 MiB, FAT32, монтується в /boot/efi
• /boot: 1 GiB, ext4 (незашифрований, потрібен у деяких конфігураціях)
• Контейнер LUKS: решта диска
• Всередині LUKS: LVM (опціонально) або прості розділи для / і swap

Чому: це передбачувано. Завантаження лишається доступним; root зашифровано.

Схема 2: Dual‑boot з Windows (UEFI) і Kali з шифруванням

• Збережіть існуючий ESP, який використовує Windows
• Стисніть розділ Windows з Windows (не з Linux)
• У вивільненому просторі створіть розділи для Kali: /boot + зашифрований root

Чому: стиснення NTFS з Windows знижує ризик. Один ESP зменшує плутанину в прошивці.

Вибір файлової системи: ext4 чи btrfs

Ext4 — «нудний, але правильний» вибір за замовчуванням для ноутбука Kali. Знімки btrfs — приємні, але додають ще один шар для налагодження, коли ви намагаєтесь виправити зламане завантаження на терміновому завданні.

Завдання 11: Перевірте вільне місце і розділи Windows (для dual‑boot)

cr0x@server:~$ sudo ntfsresize --info --force /dev/nvme0n1p3
ntfsresize v2022.10.3 (libntfs-3g)
Device name        : /dev/nvme0n1p3
NTFS volume version: 3.1
Cluster size       : 4096 bytes
Current volume size: 322122543104 bytes (322123 MB)
Current device size: 322122547200 bytes (322123 MB)
Checking filesystem consistency ...
Accounting clusters ...
You might resize at 250000 MB or above.

Що це означає: Показує мінімально безпечний розмір. Ви все одно маєте стискати з Windows Disk Management, але це дає перевірку здорового глузду.

Рішення: Якщо файлова система неконсистентна — завантажте Windows і виконайте перевірку файлової системи. Не примушуйте зміни з Linux.

Кроки встановлення, що уникають «ой, не той диск»

Коли ви завантажуєте інсталятор з USB, оберіть режим інсталяції, який вам потрібен. Графічний інсталятор підходить. Безпека залежить від ваших рішень щодо диска, а не від теми інтерфейсу.

Перед тим, як натиснути «continue» на розмітці

Перевірте ідентичність диска ще раз. Ще раз. Уявіть, що ви робите операцію, і у пацієнта два однакові нирки.

Завдання 12: Підтвердіть цільовий диск за стабільним шляхом

cr0x@server:~$ ls -l /dev/disk/by-id/ | sed -n '1,20p'
total 0
lrwxrwxrwx 1 root root  13 Feb  5 10:12 nvme-SAMSUNG_MZVLQ512HBLU-00B00_S4G9NX0R123456 -> ../../nvme0n1
lrwxrwxrwx 1 root root  10 Feb  5 10:12 usb-SanDisk_Ultra_USB_4C530001230105114103-0:0 -> ../../sda

Що це означає: Внутрішній NVMe має стабільний by‑id шлях. Ось як ви переконуєтесь, що не плутаєте /dev/sda і /dev/nvme0n1, коли пристрої переупорядковуються.

Рішення: Якщо у вас кілька внутрішніх дисків — обирайте за by‑id, коли інструмент дозволяє. Якщо ні — перевіряйте модель і розмір повторно.

Розмітка: робіть вручну при dual‑boot

Автоматичне керування розділами зручно і небезпечно, коли у вас є важливі дані. Для dual‑boot використовуйте ручну розмітку, щоб зберегти розділи Windows недоторканими.

Мета інсталяції GRUB: будьте конкретні

На UEFI‑системах GRUB встановлюється в ESP і реєструє EFI‑запис. Якщо ви виберете не той ESP (зовнішні диски, старі ESP, вендорні розділи), система завантажуватиметься лише коли вставлено USB. Це кумедний трюк один раз.

Завдання 13: Після інсталяції підтвердіть монтування ESP і вміст

cr0x@server:~$ findmnt /boot/efi
TARGET    SOURCE         FSTYPE OPTIONS
/boot/efi /dev/nvme0n1p1 vfat   rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,utf8,errors=remount-ro

Що це означає: ESP змонтовано там, де очікується. Якщо цього немає — оновлення завантажувача може встановитись «ніде», і наступний перезапуск перетвориться на полювання за причиною.

Рішення: Якщо ESP не змонтовано — виправте /etc/fstab до будь‑яких подальших дій.

Завдання 14: Підтвердіть, що в EFI‑каталозі є записи для Kali/GRUB і Windows

cr0x@server:~$ sudo ls -R /boot/efi/EFI | sed -n '1,80p'
/boot/efi/EFI:
BOOT
Microsoft
kali

/boot/efi/EFI/Microsoft:
Boot

/boot/efi/EFI/kali:
grubx64.efi
shimx64.efi

Що це означає: І Windows, і Kali мають свої записи. Якщо Microsoft відсутній на машині з dual‑boot — можливо, ви перезаписали або відформатували ESP — це виправляється, але дратує.

Рішення: Якщо ESP було відформатовано — відновіть файли завантаження Windows перед тим, як оголосити перемогу.

Розумне повнодискове шифрування

Шифрування — не опція для ноутбука, що виходить з дому. Модель загрози: крадіжка, втрата, «позичили на п’ять хвилин». Але шифрування повинно бути завантажуваним і керованим, інакше ви його відключите згодом від розчарування.

Що шифрувати (а що ні)

Шифруйте / і swap. Залишайте ESP незашифрованим (вимагається). У більшості налаштувань зберігайте /boot незашифрованим для простоти оновлень ядра. Так, атакувальник побачить ваше ядро та initramfs. Проте без фрази доступу він не прочитає файли.

Стратегія паролів

Використовуйте довгу фразу доступу, яку зможете ввести на поганій клавіатурі в аеропорту. Якщо ви покладаєтесь на менеджер паролів, який вимагає завантаження ноутбука, ви створили елегантний парадокс.

Завдання 15: Підтвердіть, що LUKS використовується і змонтований правильно

cr0x@server:~$ sudo lsblk -o NAME,TYPE,FSTYPE,SIZE,MOUNTPOINTS
NAME               TYPE  FSTYPE      SIZE MOUNTPOINTS
nvme0n1             disk             476.9G
├─nvme0n1p1         part  vfat        512M /boot/efi
├─nvme0n1p2         part  ext4          1G /boot
└─nvme0n1p3         part  crypto_LUKS 475.4G
  └─cryptroot       crypt LVM2_member 475.4G
    ├─vgkali-root   lvm   ext4         60G /
    ├─vgkali-home   lvm   ext4        380G /home
    └─vgkali-swap   lvm   swap         35G [SWAP]

Що це означає: Root і home знаходяться всередині LUKS. ESP і /boot окремі і читаються. Це те, як виглядає «розумне шифрування ноутбука».

Рішення: Якщо ви бачите root змонтований безпосередньо з /dev/nvme0n1pX без crypto_LUKS, ви не зашифровані. Виправте це якнайшвидше.

Завдання 16: Перевірте, чи initramfs знає про шифрування

cr0x@server:~$ grep -E 'cryptroot|crypt' /etc/crypttab
cryptroot UUID=11111111-2222-3333-4444-555555555555 none luks,discard

Що це означає: /etc/crypttab визначає зашифрований том. Якщо його немає або він неправильний — ви опинитесь у оболонці initramfs при завантаженні.

Рішення: Якщо ви змінили розділи після інсталяції — оновіть UUID і перебудуйте initramfs.

Після встановлення: жорстка підготовка та перевірки

Kali — це набір інструментів. Ваш ноутбук — робоча станція. Об’єднуйте їх відповідально.

Завдання 17: Оновіть пакети і підтвердіть робочість репозиторію

cr0x@server:~$ sudo apt update
Hit:1 http://http.kali.org/kali kali-rolling InRelease
Reading package lists... Done
Building dependency tree... Done
All packages are up to date.

Що це означає: Репозиторій доступний, метадані валідні. Якщо ви бачите помилки підписів, неправильні імена релізів або 404 — не продовжуйте оновлення.

Рішення: Виправте конфігурацію репозиторію перед apt full-upgrade.

Завдання 18: Оновлюйте обережно і стежте за виводом kernel/initramfs

cr0x@server:~$ sudo apt full-upgrade -y
...
update-initramfs: Generating /boot/initrd.img-6.6.0-kali1-amd64
...
done

Що це означає: Якщо генерація initramfs зазнає поразки, ви ще можете завантажитись сьогодні, але наступний перезапуск може стати проблемою.

Рішення: Будь‑яка помилка initramfs — зупиніться, читайте логи, виправляйте і повторюйте.

Завдання 19: Підтвердіть записи меню GRUB (особливо при dual‑boot)

cr0x@server:~$ sudo update-grub
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.6.0-kali1-amd64
Found initrd image: /boot/initrd.img-6.6.0-kali1-amd64
Found Windows Boot Manager on /dev/nvme0n1p1@/EFI/Microsoft/Boot/bootmgfw.efi
done

Що це означає: GRUB бачить Windows Boot Manager. Якщо не бачить — dual‑boot працюватиме лише через меню прошивки.

Рішення: Якщо Windows не знайдено — перевірте вміст і монтування ESP, потім запустіть знову.

Завдання 20: Перевірте відсутність прошивки (Wi‑Fi — звичайний підозрюваний)

cr0x@server:~$ dmesg -T | grep -i firmware | tail -n 10
[Wed Feb  5 10:44:12 2026] iwlwifi 0000:00:14.3: loaded firmware version 89.202a2f7b.0

Що це означає: Прошивка завантажилась успішно. Якщо бачите «failed to load firmware», очікуйте відсутності Wi‑Fi, поки не встановите пакети з прошивкою або не підключитесь Ethernet.

Рішення: Якщо прошивка не завантажується — плануйте проводове оновлення спочатку. Не налагоджуйте Wi‑Fi без логів.

Завдання 21: Підтвердіть базову мережу (DNS і маршрут за замовчуванням)

cr0x@server:~$ ip route
default via 192.168.1.1 dev wlan0 proto dhcp src 192.168.1.50 metric 600
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.50 metric 600

Що це означає: Існує маршрут за замовчуванням. Без нього перегляд і встановлення пакетів не працюватимуть, навіть якщо Wi‑Fi «підключено».

Рішення: Немає маршруту за замовчуванням: виправляйте DHCP або NetworkManager, перш ніж звинувачувати apt.

cr0x@server:~$ resolvectl status | sed -n '1,40p'
Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub
Current DNS Server: 192.168.1.1
       DNS Servers: 192.168.1.1

Що це означає: Конфігурація резольвера DNS присутня. Якщо DNS неправильний — apt провалиться з помилкою «Temporary failure resolving».

Рішення: Якщо DNS вказує кудись недоречно — виправте налаштування мережі або маршрутизатор.

Завдання 22: Підтвердіть синхронізацію часу (TLS ненавидить неправильний годинник)

cr0x@server:~$ timedatectl
               Local time: Wed 2026-02-05 10:50:12 UTC
           Universal time: Wed 2026-02-05 10:50:12 UTC
                 RTC time: Wed 2026-02-05 10:50:11
                Time zone: Etc/UTC (UTC, +0000)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no

Що це означає: Годинник синхронізований. Неправильний час викликає помилки перевірки TLS, які виглядають як «репозиторій зламався».

Рішення: Якщо не синхронізовано — виправте NTP перед налагодженням підписів apt.

Завдання 23: Підтвердіть використання диска і запас інодіодов

cr0x@server:~$ df -hT / /boot /boot/efi
Filesystem           Type  Size  Used Avail Use% Mounted on
/dev/mapper/vgkali-root ext4   60G   12G   45G  22% /
/dev/nvme0n1p2        ext4 1020M  220M  730M  24% /boot
/dev/nvme0n1p1        vfat  511M   18M  494M   4% /boot/efi

Що це означає: Достатньо вільного місця. Якщо /boot дуже малий і заповнюється — оновлення ядер провалюються і наступний перезавантаження може зламати систему.

Рішення: Якщо /boot менше ≈500 MiB — збільшіть його або жорстко видаляйте старі ядра.

Завдання 24: Підтвердіть підтримку TRIM (тривалість життя SSD і продуктивність)

cr0x@server:~$ systemctl status fstrim.timer | sed -n '1,20p'
● fstrim.timer - Discard unused blocks once a week
     Loaded: loaded (/lib/systemd/system/fstrim.timer; enabled; preset: enabled)
     Active: active (waiting) since Wed 2026-02-05 10:52:03 UTC; 1min ago

Що це означає: Тижневий TRIM увімкнено. На SSD/NVMe це допомагає підтримувати продуктивність.

Рішення: Якщо відключено — увімкніть, якщо у вас не специфічна конфігурація зберігання, яка конфліктує.

Три корпоративні міні‑історії (біль, у трьох смакових виконаннях)

1) Інцидент, спричинений хибним припущенням

У середній компанії інженер з безпеки хотів мати портативну Kali‑робочу станцію для оцінок на місці. У нього був новий ноутбук з внутрішнім NVMe і «допоміжна» док‑станція USB‑C, яка містила невеликий SATA SSD для резервних копій.

В інсталяторі вибір диска показував два схожі за розміром накопичувачі. Інженер припустив, що NVMe завжди буде /dev/nvme0n1, а док — /dev/sda. На цій моделі док перерахувався раніше і назви помінялися місцями. Інсталятор виконав те, що йому сказали. Внутрішній диск вижив. Док — ні. На тому диску була єдина копія нотаток по проєкту і пакетних захоплень за тиждень.

Режим відмови не був «Kali з’їв мої дані». Це було «імена пристроїв не стабільні». Linux device node — це зручний шар, а не ідентичність. Виправлення було нудне: завжди підтверджуйте модель/серійник через /dev/disk/by-id і фізично від’єднуйте непотрібні накопичувачі під час інсталяції. Також: не зберігайте єдину копію критичних даних на док‑диску, який ви випадково відформатуєте.

Після цього команда прийняла стандарт: видаляти весь зовнішній накопичувач перед інсталяцією, зберігати дані у версіонованому віддаленому сховищі і маркувати внутрішні диски в обліку активів моделлю і розміром, щоб люди могли зіставити те, що бачать на екрані.

2) Оптимізація, що вдарила по сценаріям

Інша організація захотіла швидше завантаження і кращу довговічність SSD на ноутбуках. Хтось запропонував ввімкнути агресивні опції монтування, включаючи discard повсюди і набір «продуктивних» параметрів ядра зі стіночних постів. Це було з добрими намірами. Воно також призвело до нового класу періодичних затримок при завантаженні.

На деяких NVMe безперервний discard під великим навантаженням викликав стрибки латентності. Ці стрибки були здебільшого непомітні в повсякденній роботі — доки initramfs не повинен був швидко розблокувати LUKS під час завантаження. Іноді воно це робило. Іноді ні, і тоді користувачі вимикали живлення, що приводило до перевірок файлових систем і періодичної корупції при наступному запуску.

Команда отримала суворий урок: оптимізації, що впливають на латентність зберігання, можуть стати проблемою надійності завантаження, а не лише налаштуванням продуктивності. Вони відкотилися до тижневого fstrim.timer, видалили сумнівні параметри ядра і стандартизували невеликий набір відомо‑хороших налаштувань.

Підсумок був буденний: трохи менше теоретичної оптимізації SSD, але значно менше звернень «мій ноутбук застряг на завантаженні», і команда перестала пушити поради зі стіночних форумів у продакшн‑образи.

3) Нудна, але правильна практика, що врятувала ситуацію

Консалтингова фірма підтримувала консультантів із dual‑boot ноутбуками. Вони не могли втратити доступ до Windows через корпоративну VPN‑начинку і контролі кінцевих точок. Linux використовували для контрольованого тестування в ізольованих середовищах.

Фірма впровадила просту практику: перед будь‑якою зміною ОС робити фото EFI‑записів (efibootmgr -v), експортувати ключі відновлення BitLocker і мати завантажувальний rescue USB з відомим набором інструментів. Також вимагали ніколи не форматувати ESP, якщо тільки машина не переінсталюється повністю.

Одного дня оновлення прошивки скинуло порядок завантаження і стерло не‑Microsoft EFI‑запис. Ноутбук завантажився прямо в Windows і почався панічний «Linux зник». Та він не зник. Розділи диска були цілі. За допомогою збережених даних про записи підтримка відновила відсутній запис і відновила GRUB менш ніж за годину, дистанційно підказуючи користувачу меню прошивки і швидку сесію ремонту.

Без героїки. Ніякого «форензичного відновлення». Просто нудна звичка: зафіксуйте стан перед змінами і тримайте шлях відновлення протестованим. Така практика здається зайвою, доки не стане єдиною причиною, чому ви встигли на літак.

Жарт №2: Найкращий план відновлення — той, який ви протестували до катастрофи. Другий кращий — той, який ви ще можете знайти у папці Downloads.

Швидкий план діагностики

Коли щось ламається після інсталяції, не панікуйте. Ви хочете швидко локалізувати вузьке місце: прошивка/завантаження, диск/шифрування, ядро/модулі або мережа/репозиторії. Ось порядок, який перемагає в більшості випадків.

Перше: Чи бачить прошивка завантажувальний запис?

• Якщо машина взагалі не доходить до GRUB: відкрийте меню прошивки і перевірте, чи існують Windows Boot Manager і запис Linux.
• Якщо Linux‑запис зник: завантажтесь з інсталяційного USB у «live/rescue» режимі і запустіть efibootmgr -v для інспекції записів.

Друге: Чи змонтований ESP і чи заповнений він?

• Завантажтесь у rescue‑середовище, змонтуйте root‑файлову систему, потім підтвердіть, що /boot/efi/EFI має потрібні директорії.
• Проблеми з монтуванням ESP викликають ситуації «вчора працювало, а сьогодні — ні» після оновлень.

Третє: Чи розблоковується шифрування правильно?

• Якщо ви потрапили в initramfs з «cannot find cryptroot»: перевірте /etc/crypttab і UUID, потім перебудуйте initramfs.
• Якщо запитує пароль, але не проходить: підозрюйте зміну розкладки клавіатури або пошкоджений заголовок (рідко, але трапляється).

Четверте: Чи це проблема ядра/модулів?

• Спробуйте завантажитись зі старішим ядром з меню GRUB.
• Якщо графіка дає чорний екран — завантажтесь у базовому режимі (nomodeset) тимчасово і потім виправте драйвери GPU.

П’яте: Проблема насправді в мережі/DNS/годиннику?

• Помилки apt часто виникають через DNS або зсув часу.
• Перевірте ip route, resolvectl status, timedatectl.

Пакет швидкої тріаж‑команд

cr0x@server:~$ sudo efibootmgr -v
BootCurrent: 0002
Timeout: 1 seconds
BootOrder: 0002,0001
Boot0001* Windows Boot Manager  HD(1,GPT,...)File(\EFI\Microsoft\Boot\bootmgfw.efi)
Boot0002* kali  HD(1,GPT,...)File(\EFI\kali\grubx64.efi)

Рішення: Якщо запис Kali відсутній — відновлюйте завантаження. Якщо існує — рухайтеся далі по стеку.

cr0x@server:~$ lsblk -f
NAME        FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
nvme0n1
├─nvme0n1p1 vfat        FAT32       AAAA-BBBB                            494.2M     4% /boot/efi
├─nvme0n1p2 ext4        1.0         1111-2222-3333-4444                    730M    24% /boot
└─nvme0n1p3 crypto_LUKS 2           5555-6666-7777-8888
  └─cryptroot LVM2_member LVM2       9999-aaaa-bbbb-cccc

Рішення: Якщо crypto_LUKS не присутній там, де ви очікуєте — ви в неправильному завантажувальному середовищі або мапа розділів змінилась.

Поширені помилки: симптом → причина → виправлення

1) Симптом: «Немає завантажувального пристрою» після інсталяції

Причина: Інсталяція у legacy режимі на UEFI диску, або EFI‑запис не створено, або порядоk завантаження прошивки змінився.

Виправлення: Завантажте інсталятор USB у UEFI‑режимі. У rescue‑середовищі змонтуйте ESP як /boot/efi, перевстановіть GRUB для UEFI і відтворіть EFI‑запис при потребі.

2) Симптом: Завантажується лише коли вставлена USB‑флешка

Причина: GRUB встановлено в ESP USB або в шлях для знімного носія, а не в внутрішній ESP.

Виправлення: Завантажтесь без USB у меню прошивки; якщо записів Linux нема — використовуйте rescue‑середовище, встановіть GRUB на внутрішній ESP і зареєструйте його через efibootmgr.

3) Симптом: Попали в initramfs з «cannot find /dev/mapper/cryptroot»

Причина: Неправильний UUID у /etc/crypttab або /etc/fstab, або initramfs не перебудовано після змін.

Виправлення: У rescue знайдіть правильний UUID через blkid, оновіть файли, потім виконайте update-initramfs -u і update-grub.

4) Симптом: Kali завантажується, але Windows відсутній у меню GRUB

Причина: ESP не змонтовано під час update-grub, os-prober відключений або файли завантаження Windows відсутні на ESP, яким ви користуєтесь.

Виправлення: Змонтуйте ESP, перевірте /boot/efi/EFI/Microsoft, ввімкніть os-prober якщо доречно і знову запустіть update-grub. Інакше використовуйте меню прошивки як тимчасовий обхід.

5) Симптом: Wi‑Fi є, але не підключається; або пристрій Wi‑Fi відсутній

Причина: Відсутня прошивка, rfkill soft/hard block або невідповідний модуль драйвера після оновлення ядра.

Виправлення: Перевірте dmesg на помилки прошивки, виконайте rfkill list, встановіть правильні пакети прошивки через Ethernet і перезавантажтесь.

6) Симптом: Apt падає з помилками сертифікатів або підписів

Причина: Неправильний системний час або зламаний DNS/маршрут.

Виправлення: Переконайтесь у синхронізації часу через timedatectl, перевірте ip route і resolvectl status. Виправте мережу і NTP, потім повторіть apt update.

7) Симптом: Оновлення ядра падає з «No space left on device»

Причина: Крихітний розділ /boot, переповнений старими ядрами.

Виправлення: Видаліть старі ядра, збільшіть /boot якщо можливо і стежте за ним через df -h.

8) Симптом: Windows просить ключ відновлення BitLocker після інсталяції

Причина: Зміни в ланцюжку завантаження (GRUB, порядок EFI) викликали захист BitLocker.

Виправлення: Використайте recovery key (ви ж зберегли його, правда?), потім у Windows тимчасово призупиніть і знову ввімкніть BitLocker після стабілізації завантаження.

Завдання 25: Перевірте стан rfkill (швидка Wi‑Fi перевірка)

cr0x@server:~$ rfkill list
0: wlan: Wireless LAN
	Soft blocked: no
	Hard blocked: no

Що це означає: Не заблоковано. Якщо hard blocked — швидше за все фізичний вимикач або налаштування прошивки вимикає радіо.

Рішення: Hard blocked — припиніть налагодження драйверів і шукайте апаратні перемикачі/налаштування прошивки.

Завдання 26: Підтвердіть завантажені модулі ядра для Wi‑Fi (приклад)

cr0x@server:~$ lsmod | grep -E '^iwlwifi|^ath9k|^brcmfmac' | head
iwlwifi               438272  1
cfg80211             1122304  2 iwlwifi,mac80211

Що це означає: Драйвер завантажено. Якщо нічого не видно — пристрій може не виявлятись або відсутня прошивка.

Рішення: Модуль завантажено, але немає з’єднання: дивіться логи NetworkManager і регуляторну область; немає модуля: ідентифікуйте PCI‑пристрій і потрібний драйвер.

Контрольні списки / покроковий план

План A (найкращий для більшості): Kali у VM

1. Встановіть гіпервізор на стабільний хост‑ОС.
2. Виділіть ресурси реалістично (2–4 ядра, 4–8 GiB RAM на старт, 40–80 GiB диска).
3. Використовуйте NAT‑мережу, якщо не потрібен мостовий режим для реалістичності лабораторії.
4. Зробіть знімок одразу після первинного налаштування і оновлень.
5. Тримайте offensive tooling у VM, не на хості.

Чому це безпечно: знімки і розділення. Якщо ви зламаєте Kali — ви не зламаєте ноутбук.

План B: Dual‑boot Kali + Windows (більш‑менш безпечний спосіб)

1. Резервне копіювання: Скопіюйте критичні дані поза ноутбуком. Перевірте резервну копію, відкривши файли на іншій машині.
2. BitLocker: Експортуйте ключі відновлення і зберігайте їх не на ноутбуку.
3. Підготовка Windows: Вимкніть Fast Startup і стисніть розділ Windows з Windows.
4. Прошивка: Підтвердьте UEFI режим; вирішіть питання Secure Boot.
5. USB: Перевірте контрольну суму ISO, запишіть USB, зробіть spot‑check.
6. Інсталяція: Ручна розмітка; збережіть існуючий ESP; створіть /boot + зашифрований root у вільному просторі.
7. Завантажувач: Встановіть GRUB у внутрішній ESP; перевірте, що /boot/efi/EFI містить записи обох ОС.
8. Після інсталяції: Оновіть пакети; запустіть update-grub; підтвердіть виявлення Windows.
9. Відновлення: Тримайте USB під рукою; збережіть в нотатках вивід efibootmgr -v.

План C: Одноразовий Kali на «чистому металі» (виділена машина)

1. Зробіть резервну копію всього. Потім уявіть, що не зробили її і зробіть ще раз.
2. Від’єднайте зовнішні накопичувачі.
3. Використовуйте UEFI + GPT.
4. Створіть ESP (якщо потрібно), /boot і зашифрований root.
5. Після інсталяції підтвердіть таймер TRIM і стан диска, потім оновіть пакети.

Чекліст відновлення (коли не завантажується)

1. Спробуйте меню прошивки: чи можете ви завантажити Windows? чи бачите запис Kali?
2. Завантажтесь з інсталяційного USB у UEFI‑режимі.
3. Перевірте карту дисків через lsblk і підтвердіть шифрування через lsblk -f.
4. Правильно змонтуйте root + boot + ESP.
5. Перевстановіть GRUB і регенеруйте конфіг.
6. Перебудуйте initramfs, якщо змінились шифрування або UUID.

Завдання 27: Знайдіть PCI‑пристрої (корисно для проблем з драйверами)

cr0x@server:~$ lspci -nn | sed -n '1,25p'
00:00.0 Host bridge [0600]: Intel Corporation Device [8086:9a14]
00:02.0 VGA compatible controller [0300]: Intel Corporation Device [8086:9a49]
00:14.3 Network controller [0280]: Intel Corporation Wi-Fi 6 AX201 [8086:06f0]

Що це означає: Ви можете ідентифікувати апарат за vendor/device ID. Це підкаже, який драйвер/прошивка потрібні.

Рішення: Якщо пристрій взагалі не видно — це проблема прошивки/біоса або апаратний збій, а не відсутній пакет.

Завдання 28: Коректно змонтуйте розділи в режимі rescue (послідовність прикладу)

cr0x@server:~$ sudo mount /dev/mapper/vgkali-root /mnt
cr0x@server:~$ sudo mount /dev/nvme0n1p2 /mnt/boot
cr0x@server:~$ sudo mount /dev/nvme0n1p1 /mnt/boot/efi
cr0x@server:~$ findmnt /mnt/boot/efi
TARGET          SOURCE         FSTYPE OPTIONS
/mnt/boot/efi   /dev/nvme0n1p1 vfat   rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,utf8,errors=remount-ro

Що це означає: Root, /boot і ESP змонтовані у правильні локації під /mnt. Це потрібно перед ремонтом GRUB через chroot.

Рішення: Якщо ви змонтували ESP в інше місце (або зовсім не змонтували) — ремонт GRUB «вдасться», але результат не закріпиться.

Завдання 29: Chroot і ремонт GRUB (UEFI)

cr0x@server:~$ sudo mount --bind /dev /mnt/dev
cr0x@server:~$ sudo mount --bind /proc /mnt/proc
cr0x@server:~$ sudo mount --bind /sys /mnt/sys
cr0x@server:~$ sudo chroot /mnt /bin/bash
cr0x@server:~$ grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=kali
Installing for x86_64-efi platform.
Installation finished. No error reported.
cr0x@server:~$ update-grub
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.6.0-kali1-amd64
Found initrd image: /boot/initrd.img-6.6.0-kali1-amd64
Found Windows Boot Manager on /dev/nvme0n1p1@/EFI/Microsoft/Boot/bootmgfw.efi
done

Що це означає: GRUB встановлено в ESP і конфіг згенеровано. Якщо Windows знайдено — dual‑boot має повернутися.

Рішення: Якщо grub-install видає помилку — перевірте, що ESP має FAT32, змонтовано і що ви завантажились з USB у UEFI‑режимі.

Завдання 30: Перебудуйте initramfs після змін у криптуванні

cr0x@server:~$ update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-6.6.0-kali1-amd64

Що це означає: Initramfs перебудовано для встановлених ядер. Це робить доступними модулі шифрування і зберігання на ранньому етапі завантаження.

Рішення: Якщо це падає — виправте помилки перед перезавантаженням. Перезавантаження — це не діагностичний інструмент, це наслідок.

Завдання 31: Відтворіть відсутній EFI‑запис (якщо прошивка «забула»)

cr0x@server:~$ sudo efibootmgr -c -d /dev/nvme0n1 -p 1 -L "kali" -l '\EFI\kali\grubx64.efi'
BootCurrent: 0002
BootOrder: 0004,0001,0002
Boot0004* kali

Що це означає: Ви створили новий EFI‑запис, який вказує на GRUB Kali на партиції 1 (ESP).

Рішення: Якщо шлях невірний — це тихо зламати завантаження. Перевірте, що файл існує під /boot/efi/EFI/kali/.

Питання та відповіді

1) Чи варто встановлювати Kali як ОС для щоденного використання?

Якщо ви цінуєте стабільність — ні. Kali оптимізований для набору інструментів безпеки і швидких оновлень, а не для консервативної робочої станції. Використовуйте VM або стабільний дистрибутив і тримайте Kali ізольованим, якщо немає конкретної причини інакше.

2) Чи потрібно вмикати Secure Boot?

Для навчання або більшості персонального використання — ні. Secure Boot додає складнощів при встановленні сторонніх модулів. Якщо середовище вимагає його — плануйте підпис модулів і більш обережні зміни ядра.

3) Який найбезпечніший підхід до dual‑boot з Windows?

Стисніть Windows з Windows. Збережіть існуючий ESP. Встановіть Kali у вільний простір з ручною розміткою. Переконайтеся, що Windows Boot Manager залишається на ESP і що GRUB його виявляє.

4) Чому Windows просить ключ BitLocker після інсталяції Kali?

Тому що змінився ланцюжок завантаження. BitLocker використовує ці сигнали для виявлення підміни. Він виконує свою роботу. Використайте recovery key, потім стабілізуйте завантаження і знову активуйте BitLocker.

5) ext4 чи btrfs для Kali?

Ext4, якщо ви не готові налагоджувати проблеми з завантаженням, пов’язані зі знімками, subvolume і rollback‑механікою. Btrfs підходить, але не додавайте шари, які не зможете виправляти о першій ночі.

6) Чи потрібен окремий розділ /boot?

Для зашифрованого root окремий незашифрований /boot — найпростіша і надійна конфігурація. Це зменшує сюрпризи під час оновлень ядра і раннього завантаження.

7) Після інсталяції у мене не працює Wi‑Fi. Чи зламався Kali?

Швидше за все — відсутня прошивка або радіо заблоковано. Перевірте dmesg на помилки прошивки і rfkill на блоки. Плануйте тимчасове підключення Ethernet для встановлення пакетів прошивки.

8) Інсталятор не бачить мій NVMe. Що робити?

Перевірте налаштування прошивки: режим зберігання (AHCI vs RAID/RST) і переконайтесь, що інсталятор запущено в UEFI‑режимі. Деякі ноутбуки постачаються з Intel RST/RAID увімкненим, що може приховувати диски від Linux‑інсталяторів.

9) Я встановив Kali і тепер ноутбук завантажується в чорний екран.

Часто це проблеми драйвера графіки. Спробуйте завантаження в базовому режимі або додайте тимчасовий параметр ядра nomodeset, щоб отримати GUI, потім обережно встановіть потрібні драйвери GPU.

10) Чи можу я встановити Kali на зовнішній USB SSD і завантажуватись звідти?

Так, і це може бути хорошим компромісом. Недолік: EFI‑записи можуть вказувати на зовнішній диск і зазнати невдачі при його відключенні. Залишайте внутрішнє завантаження недоторканим і будьте конкретні щодо того, куди встановлюється GRUB.

Наступні кроки, які ви справді виконаєте

Якщо ви хочете найбезпечнішого результату, виконайте ці кроки у такому порядку:

1. Визначте шлях встановлення: VM, якщо не можете обґрунтувати bare metal.
2. Резервне копіювання і перевірка: перевірка означає відкривання файлів на іншій машині, а не лише спостереження за progress bar.
3. Збережіть стан завантаження: збережіть вивід efibootmgr -v і підтвердіть, чи увімкнено Secure Boot.
4. Перевірте ISO і USB: контрольна сума ISO, обережний запис і spot‑check результату.
5. Розмітьте з наміром: ручна розмітка для dual‑boot; збережіть ESP; зашифруйте root.
6. Після інсталяції: правильно змонтуйте ESP, оновіть, регенеруйте GRUB, підтвердіть виявлення Windows і протестуйте перезавантаження перед оголошенням «готово».

Потім виконайте найменш популярний крок у системній роботі: перезавантажтесь ще раз, поки інсталятор USB ще на вашому столі. Якщо щось зламається — ви виправите це за хвилини. Якщо чекатимете, поки будете в дорозі — виправлятимете години.