HomeLab

Global HomeLab News: Proxmox после apt-обновления не загружается с включённым Secure Boot

23 мая 2026, 00:02
Global HomeLab News: Proxmox после apt-обновления не загружается с включённым Secure Boot

В новых обсуждениях Proxmox за последние сутки пользователи зафиксировали повторяющийся сбой загрузки после обновления через APT: хост стартует только при отключении Secure Boot. Параллельно в сообществе активно обсуждают, что перед обновлением 9.2 нужно проверять known issues и заранее готовить план отката, даже для «минорных» апдейтов.

Что произошло

На r/Proxmox появился инцидент: после обновления через пакетный менеджер система перестала нормально грузиться при активном Secure Boot. По сообщениям участников, проблема связана с цепочкой доверия UEFI (ключи/сертификаты) и проявляется как отказ загрузки до отключения Secure Boot в прошивке.

В соседнем обсуждении по best practices перед обновлением PVE 9.2 администраторы подтвердили стандартный подход: перед апдейтом проверять release notes/known issues, иметь актуальные бэкапы ВМ и сохранить конфигурацию хоста для быстрого восстановления.

Технические детали

  • Симптом: после apt update && apt upgrade/apt dist-upgrade узел не проходит boot при включённом Secure Boot.
  • Вариант временного обхода: отключить Secure Boot, чтобы восстановить доступ к хосту.
  • В обсуждении упоминается проблема совместимости с актуализацией UEFI CA-цепочки (переход к более новым сертификатам) и необходимость обновления ключей платформы.
  • Для релизов Proxmox 9.2 участники отдельно рекомендуют читать раздел known issues до установки пакетов, даже если обновление кажется «безопасным минором».

Риски и ограничения

  • Отключение Secure Boot снижает контроль целостности загрузочной цепочки.
  • Если обновление оборвало загрузку единственного узла без out-of-band доступа, восстановление может потребовать физического доступа к консоли.
  • Бэкап только гостевых ВМ (без сохранения конфигов хоста) увеличивает RTO при аварийном восстановлении.
  • На одиночном узле невозможно «эвакуировать» нагрузки перед обслуживанием, поэтому важны окно работ и проверенный rollback.

Практика для HomeLab (чеклист)

  1. Перед обновлением Proxmox:
  2. Сверить релиз и known issues:
    • https://pve.proxmox.com/wiki/Roadmap#Proxmox_VE_9.2
    • https://pve.proxmox.com/wiki/Roadmap#9.2-known-issues

  3. Проверить здоровье хоста:

    • pveversion -v
    • zpool status -x
    • journalctl -p err -b

  4. Зафиксировать конфигурацию хоста (минимум):

  5. tar czf /root/pve-host-config-$(date +%F).tgz /etc/pve /etc/network/interfaces /etc/hosts /etc/resolv.conf /etc/default/grub /etc/kernel

  6. Скопировать архив на внешний storage/NAS.

  7. Обновлять в предсказуемом порядке:

  8. apt update
  9. apt full-upgrade (или эквивалентный рекомендованный сценарий для вашей версии)

  10. Перезагрузка только в согласованное окно обслуживания.

  11. Если после апдейта хост не грузится с Secure Boot:

  12. Временно отключить Secure Boot в UEFI для возврата сервиса.
  13. Проверить цепочку загрузки и обновить UEFI-ключи/сертификаты по вендорной процедуре.

  14. После исправления повторно включить Secure Boot и выполнить тестовый reboot.

  15. Критерии успешной проверки:

  16. Хост загружается 2/2 раза с включённым Secure Boot.
  17. systemctl is-system-running возвращает running или degraded без новых критичных ошибок.
  18. Все ВМ/CT поднимаются, а последний бэкап PBS проходит без ошибок.

Источник:
- https://www.reddit.com/r/Proxmox/comments/1tktear/after_upgrading_from_via_apt_pc_doesnt_boot/
- https://www.reddit.com/r/Proxmox/comments/1tkp5yz/best_practice_before_updating_pve_host/

Ко всем постам