그래서 나는 읽었다위키피디아그리고이 답변, 나는 아직도 조금 헤매고 있습니다. Wikipedia에서는 많은 부분이 선택사항인 것처럼 느껴집니다.
이것이 제가하는 것입니다. Manjaro를 사용하여 단일 파티션에 설치했는데 후회할 수도 있고 전체 디스크 암호화를 활성화했습니다. Windows 또는 Linux를 부팅할 때 비밀번호를 입력하라는 메시지가 표시되고 실제 grub 메뉴가 표시되는 것을 확인했습니다.
어떤 옵션이 효과가 있을지 잘 모르겠습니다. LVM이 활성화되어 있지만 100%는 아닌 것 같으며 ext4를 선택했다고 확신합니다. grub.conf 빌드 스크립트 수정을 고려해 보았지만 어디에 있는지 또는 이것이 올바른 위치인지 잘 모르겠습니다.
Manjaro에 discard, no_read_workqueue, 를 추가하는 정답은 무엇입니까?no_write_workqueue
고쳐 쓰다:
이것이 최신 구성인데 복구 셸에서 계속 멈춥니다. 모든 작업을 수행하기 위해 systemd cryptsetup을 사용하려고 하는데, 이는 luks.*매개변수를 사용함을 나타내는 것 같습니다.
노트:이름은 root복구 쉘의 수동 설치에서 유래되었습니다.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS MOUNTPOINT UUID
loop0 7:0 0 450.2M 1 loop /var/lib/snapd/snap/wickrme/543 /var/lib/snapd/snap/wickrme/543
loop1 7:1 0 55.4M 1 loop /var/lib/snapd/snap/core18/2074 /var/lib/snapd/snap/core18/2074
loop2 7:2 0 65.1M 1 loop /var/lib/snapd/snap/gtk-common-themes/1515 /var/lib/snapd/snap/gtk-common-themes/1515
loop3 7:3 0 32.3M 1 loop /var/lib/snapd/snap/snapd/12398 /var/lib/snapd/snap/snapd/12398
zram0 253:0 0 1.5G 0 disk [SWAP] [SWAP]
nvme0n1 259:0 0 953.9G 0 disk
├─nvme0n1p1 259:1 0 100M 0 part /boot/efi /boot/efi 6CEB-F417
├─nvme0n1p2 259:2 0 16M 0 part
├─nvme0n1p3 259:3 0 780.6G 0 part
├─nvme0n1p4 259:4 0 508M 0 part CA343C30343C223D
├─nvme0n1p5 259:5 0 146.5G 0 part 74c51543-eb14-4f61-afeb-b5de6c10a32a
│ └─root 254:0 0 146.5G 0 crypt / / e0a93c98-88a8-4fc9-9948-acdb423d05fd
└─nvme0n1p6 259:6 0 18.6G 0 part [SWAP] [SWAP] 72db96da-87e4-4b17-a622-6a4d56b314c6
4 ❯ cryptsetup luksDump /dev/nvme0n1p5 # ~
LUKS header information for /dev/nvme0n1p5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
UUID: 74c51543-eb14-4f61-afeb-b5de6c10a32a
❯ cat /etc/default/grub | grep -v -e '^[[:space:]]*$' -e '^#' # ~
GRUB_DEFAULT=saved
GRUB_TIMEOUT=5
GRUB_TIMEOUT_STYLE=hidden
GRUB_DISTRIBUTOR="Manjaro"
GRUB_CMDLINE_LINUX_DEFAULT="quiet luks.uuid=74c51543-eb14-4f61-afeb-b5de6c10a32a luks.options=discard,no_read_workqueue,no_write_workqueue root=/dev/mapper/luks-e0a93c98-88a8-4fc9-9948-acdb423d05fd splash apparmor=1 security=apparmor udev.log_priority=3"
GRUB_CMDLINE_LINUX=""
GRUB_SAVEDEFAULT=true
GRUB_PRELOAD_MODULES="part_gpt part_msdos"
GRUB_TERMINAL_INPUT=console
GRUB_GFXMODE=1280x768x32,auto
GRUB_DISABLE_RECOVERY=false
GRUB_DISABLE_OS_PROBER=false
GRUB_COLOR_NORMAL="light-gray/black"
GRUB_COLOR_HIGHLIGHT="green/black"
GRUB_THEME="/usr/share/grub/themes/manjaro/theme.txt"
GRUB_ROOT_FS_RO=true
GRUB_ENABLE_CRYPTODISK=y
내가 아는 한systemd-cryptsetup-generator더 많은 옵션이 필요하지 않습니다. 하나는 있지만 /etc/crypttab모든 것이 주석 처리되어 있습니다.
나는 이것이 GRUB_CMDLINE_LINUX_DEFAULT나의 유일한 문제라고 확신하지만 그것이 무엇인지는 잘 모르겠습니다. Google은 blkid또는 의 출력을 사용하여 이 작업을 수행하는 방법에 대한 많은 예를 찾지 못했습니다 lsblk.
답변1
마침내 나는 부츠를 수리하고 내가 원하는 기능을 얻으려면 이렇게 해야 한다는 것을 깨달았습니다.
GRUB_CMDLINE_LINUX_DEFAULT="cryptdevice=UUID=74c51543-eb14-4f61-afeb-b5de6c10a32a:root:allow-discards,no-read-workqueue,no-write-workqueue quiet udev.log_priority=3"
답변2
TLDR - 가능하다면 전체 디스크를 암호화하지 마세요. 가능하다면 마지막에 완전히 분할되지 않은 호흡 공간을 제공하고 대부분의 기본값을 fstab에 남겨두세요.
이것은 확실하지 않은 사용자 선택 절충안 중 하나이므로 주의를 기울이고 관리자와 협력할 것입니다.
TRIM 명령은 SSD의 수명을 연장할 수 있는 잠재력을 가지고 있지만 LUKS 파티션의 취약성을 증가시킬 수도 있습니다.
실제로 설치하면 드라이브 수명이 얼마나 단축됩니까? 얼마나 편안하다고 느끼나요?
실제로 암호화해야 하는 드라이브의 양은 얼마나 됩니까? TRIM을 사용하여 암호화된 데이터는 얼마나 취약합니까?
cron에서 수동으로 수행하거나 다음과 같이 수행할 수도 있습니다.제공하다
나는 여러 컴퓨터에서 기본 설정을 고수하고 항상 루트를 암호화하지만 일반적으로 최소한 루트 및 홈 디렉터리가 있는 100GB LUKS 파티션만 있고 내 데스크탑에는 일반적으로 파티션을 암호화하지 않고 일부 드라이브가 마운트되어 있습니다. 전반적으로 암호화된 파티션이 없는 드라이브에 비해 이로 인해 개인 드라이브가 조기에 종료되는 것을 본 적이 없다고 생각합니다. 과열된 노트북에서 제대로 작동하지 않는 msata를 제외하고는 SSD가 작동하지 않은 기억이 없습니다(컴퓨터가 뜨거워지면 어느 시점에서 데이터가 부족해집니다). 하지만 일부 RAID 5 하드웨어 컨트롤러가 비슷한 상황으로 인해 SSD를 종료한다고 들었습니다. 편집: 나는 죽은 SSD를 소유하고 있지 않다는 사실을 되새깁니다. 처음에는 결코 좋지 않았던 SSD 드라이브 상자, 일부는 끔찍했지만 특히 잘 알려진 브랜드의 저렴한 SSD가 잔뜩 있습니다. 사무실의 문자 컴퓨터 회사 소매 회사에서는 이를 동네 곳곳에서 판매하고 있으며 단 몇 시간만 사용해도 고장이 나는 것으로 알려져 있습니다.
SSD 마모 측면에서는 가능하지만,노아템더 중요한 것은 특히 읽기 중심 드라이브/파티션에서 다음과 같습니다.
이를 완화하기 위해 일반적으로 드라이브의 마지막 10%는 분할하지 않습니다. 디스크를 가득 채우더라도 Wear Spinner가 디스크를 많이 마모시킵니다(여기에는 파일 시스템의 일반적인 예약 블록은 포함되지 않음). 나는 지난 10년 동안 개인용 컴퓨터에서 스왑 파티션을 사용하지 않았습니다. 전체 디스크를 암호화하지 않고 LUKS의 LVM 내에서 루트, 홈 usr 및 var를 암호화한 다음 /mnt/steam SteamLibrary의 파티션과 같은 중요하지 않은 항목을 배치하려고 하는 다른 데이터 파티션을 만듭니다. 다시 다운로드하세요. 100GB LUKS 파티션은 일반적으로 아치 루트 usr var 홈 파티션에 충분하며 대부분의 최신 시스템에는 많은 RAM이 있으므로 /tmp에 tmpfs를 사용합니다. 많은 소프트웨어가 설치되어 있으므로 /usr은 다음과 같습니다.
du -sh /usr
26G /usr
lvm이 있는지 확인하려면 pvscan lvscan vgscan 명령을 사용하십시오. 예:
[root@examplenode1 ~]# lvscan
ACTIVE '/dev/examplemachineVG/examplemachineRoot' [40.00 GiB] inherit
ACTIVE '/dev/examplemachineVG/examplemachineHome' [70.98 GiB] inherit
[root@examplenode1 ~]# vgscan
Found volume group "examplemachineVG" using metadata type lvm2
[root@examplenode1 ~]# pvscan
PV /dev/mapper/examplemachinecrypt VG examplemachineVG lvm2 [110.98 GiB / 0 free]
Total: 1 [110.98 GiB] / in use: 1 [110.98 GiB] / in no VG: 0 [0 ]
내용도 확인해보세요
/dev/mapper/
그리고
/etc/fstab
/etc/mtab