construindo uma inicialização uefi-secure debian-USB

Suponho que já exista algo em que exatamente meu problema foi discutido anos atrás, mas depois de passar muito tempo pesquisando, tentei minha sorte aqui, espero que você possa me ajudar ou pelo menos mostrar os links certos para obter minhas informações .

Target: Debian com inicialização segura em USB

Alguns links baseio meu progresso em

• instalação dos efus-bootloaders dos livros de bastidores
• livros de receitas efi-bootloaders secureboot
• link

Etapas até agora :

# download debian8.4-netinstall (official link)
wget http://cdimage.debian.org/debian-cd/8.4.0/amd64/iso-cd/debian-8.3.0-amd64-netinst.iso
mkdir debNet   # extract iso
bsdtar -C debNet -xf debian-8.4.0-amd64-netinst.iso


ls debNet
>autorun.inf  doc        install      pool                 README.txt
>boot         efi        install.amd  README.html          setup.exe
>css          firmware   isolinux     README.mirrors.html  tools
>debian       g2ldr      md5sum.txt   README.mirrors.txt   win32-loader.ini
>dists        g2ldr.mbr  pics         README.source

Como descrito por rodsbooks, eu deveria agora

• renomear EFI/BOOT/bootx64.efi para EFI/BOOT/grubx64.efi
• mova shim.efi para EFI/BOOT/bootx64.efi
• mova MokManager.efi para EFI/BOOT/
• faça uma mágica legal com as chaves e assine, tadaa, pronto.

Para fazer um USB inicializável, eu dou os seguintes passos

sources="debNet"
outISO="debian8.4.0.modified.iso"
relative_isolinuxbin="isolinux/isolinux.bin"
xorriso -as mkisofs \
    -isohybrid-mbr /usr/lib/syslinux/isohdpfx.bin   \
    -c boot.cat \
    -b $relative_isolinuxbin \
    -no-emul-boot -boot-load-size 4 -boot-info-table -eltorito-alt-boot \
    -e boot/grub/efi.img -no-emul-boot -isohybrid-gpt-basdat \
    -o $outISO $sources
sudo dd if=debian8.4.0.modified.iso of=/dev/sdb

Se eu tivesse alguma ideia do que estava fazendo antes (apenas fazer o uefi rodar), eu teria visto que usei efi.img. Então demorou algum tempo experimentando com debNet / efi / boot para descobrir que adicionar ou alterar até mesmo apagar este diretório não altera a inicialização. (talvez apagar o diretório corrompa a instalação - não tente - mas não a inicialização)

Então, finalmente entendi que tenho que alterar debNet/boot/grub/efi.img . Então, aqui está minha pergunta principal até agora - como criar esse efi.img para minhas necessidades?

dd if=/dev/zero of=efi.img bs=1k count=3000
mkfs.vfat efi.img
sudo mount efi.img img_mountpoint/

e copiar os gerenciadores de inicialização, conforme descrito nos livros de barras, parece não funcionar.

Se tiver informações para mim, seria muito bom.