UEFI용 루트 파티션 및 Luks 암호화

UEFI용 루트 파티션 및 Luks 암호화

BIOS에서 UEFI를 활성화하고 시스템의 단일 하드 드라이브에 Ubuntu를 설치했습니다. 이 하드 디스크에는 /boot/efi 및 /라는 두 개의 Linux 파티션이 있습니다. 저는 최근 동일한 버전의 Ubuntu를 사용하여 라이브 USB에서 UEFI를 통해 부팅하고 luksipc(암호화되지 않은 파티션을 암호화된 파티션으로 변환하는 도구)를 사용하여 / 파티션을 암호화했습니다. cryptsetup luksOpen을 사용하여 암호화된 파티션에 성공적으로 액세스할 수 있으므로 프로세스가 원활하게 진행됩니다.

내 문제는 시작에 관한 것입니다. crypttab과 fstab을 변경하고 initram(update-initramfs)과 grub conf 파일(update-grub)과 바이너리(grub-install)를 다시 생성했습니다. 마지막으로 재부팅했는데 GRUB 명령줄에서 시작이 멈췄습니다.

내가 뭘 잘못했나요? GRUB이 /boot(현재 암호화된 파티션 /)에서 해당 파일을 찾을 수 있도록 암호화되지 않은 추가 파티션에 /boot를 배치해야 합니까?

답변1

예, 부팅 파티션은 암호화되지 않은 상태로 유지됩니다. 실제로 내 디스크를 보면 세 개의 파티션이 있습니다.

  • sda1(/boot/efi, 분명히 GPT 부팅 파티션)
  • sda2(/boot, 리눅스 커널)
  • sda3 (암호화된 볼륨 저장)

UEFI는 /boot/efi의 내용이 변경되지 않았는지 확인하고 부팅하기 전에 sda2의 내용을 확인할 수 있도록 설계되었기 때문에 전체 프로세스가 여전히 안전합니다.

관련 정보