dm-crypt 전체 시스템 암호화(BIOS)를 사용하여 설치 후 Arch Linux를 시작할 수 없습니다.

tag-icon tag-icon arch-linux dm-crypt whole-drive-encryption
dm-crypt 전체 시스템 암호화(BIOS)를 사용하여 설치 후 Arch Linux를 시작할 수 없습니다.

그래서 저는 이 문서를 사용하여 새로운 아치를 설치하고 있습니다.여기전체 시스템 암호화에 사용됩니다.

나를 혼란스럽게 했던 첫 번째 부분은여기문서는 다음과 같습니다:

경고: GRUB은 LUKS2를 지원하지 않습니다. GRUB가 액세스해야 하는 파티션에는 LUKS2를 사용하지 마십시오.

하지만 이 섹션 뒷부분에서는 명령을 실행하라는 메시지가 표시됩니다 cryptsetup luksFormat /dev/sda3. 그런데 실행하면 비밀번호를 물어보는데 GRUB은 LUKS2를 지원하지 않는다고 나오지 않나요?

그러다가 비밀번호를 입력하고 계속 내려갔더니그럽 설치실행해보니 grub-mkconfig -o /boot/grub/grub.cfg이라고 떴 filaed to connect lvmetad는데 경고라서 무시했습니다.

나중에 이 과정을 거쳐서마지막 부분오류가 없습니다.

그런데 종료했다 arch-chroot가 다시 시작해도 부팅되지 않고 다음 OS(제 경우에는 Windows 10)로 이동합니다. 이유는 무엇입니까? 나는 어떤 부분을 잘못했나요? 어떻게 해결하나요?

PS 이것은 내 디스크와 명령의 테이블입니다lsblk

NAME                 SIZE     TYPE    MOUNTPOINT
sda                  114.6G   disk    
  sda1               4G       part
  sda2               4G       part    /mnt/boot/efi
  sda3               16G      part    
    cryptboot        16G      crypt   /mnt/boot
  sda4               90.6G    part    
    lvm              90.6G    crypt
      AALEvol-swap   8G       lvm     [SWAP]
      AALEvol-root   82.6G    lvm     /mnt

답변1

GRUB은 (현재) LUKS2를 지원하지 않으므로 /boot를 LUKS2로 암호화할 수 없습니다.

cryptsetup(버전 2.1.0부터)은 배포 패키저가 달리 지정하지 않는 한 기본적으로 LUKS2를 생성합니다. 따라서 현재 ArchLinux는 기본적으로 LUKS2 컨테이너를 생성합니다.

https://gitlab.com/cryptsetup/cryptsetup/blob/master/docs/v2.1.0-ReleaseNotes:

Cryptsetup 버전 2.1은 새로운 온디스크 LUKS2 형식을 기본 LUKS 형식으로 사용하고 기본 LUKS2 헤더 크기를 늘립니다.

레거시 LUKS(LUKS1이라고 함)는 레거시 및 이전 버전과 완전히 호환되는 형식뿐만 아니라 항상 완벽하게 지원됩니다.

안정 릴리스를 업그레이드할 때 --with-default-luks-format=LUKS1 구성 옵션을 사용하여 이전 버전과의 호환성을 유지하세요.

LUKS2가 cryptsetup 스타일의 기본값인지 확인할 수 있습니다.

$ cryptsetup --help
[...]
Default compiled-in metadata format is LUKS2 (for luksFormat action).

Default PBKDF for LUKS2: argon2i
    Iteration time: 2000, Memory required: 1048576kB, Parallel threads: 4

일반적으로 고려 사항(예: GRUB 호환성 또는 luksOpen 단계의 과도한 메모리 사용)을 알고 있는 한 LUKS2 사용을 기피할 이유가 없습니다.

어떤 이유로든 LUKS1을 계속 사용하려면 다음과 같이 지정하세요.

# cryptsetup luksFormat --type luks1 /dev/sdx9

답변2

하드 드라이브 시작 부분에 파티션을 생성하세요. 크기는 600MB에서 1GB 사이여야 하며 Linux 설정에서 이 파티션을 표시하세요./시작하다분할.잠재적으로 민감한 데이터는 기록되지 않으므로 부팅 파티션을 암호화하면 안 됩니다.

다시 파티션하기 전에 전체 하드 드라이브를 지우고 싶다면 다음을 사용하는 것이 좋습니다.fdisk -l |모든 하드 드라이브와 그 안에 있는 모든 파티션을 나열한 다음 드라이브를 찾으면 dd if=/dev/urandom of=/dev/sd(X)여기서 X는 HDD 드라이브 문자입니다.

그런 다음 암호화할 다른 파티션(1./SWAP, 2./ROOT 및 3./HOME(선택 사항))을 만듭니다.

관련 정보