내 목표는 완전한 시스템 암호화를 위해 RHEL8 UEFI 보안 부팅 시스템에서 luks1을 사용하여 /boot 및 /boot/efi 파티션을 암호화하는 것입니다.
BIOS 모드 RHEL8 설치에서 /boot 파티션을 암호화(LUKS1)하고 grub을 업데이트하여 필요한 암호화 모듈을 미리 로드할 수 있지만 UEFI 시스템에서 /boot 및 /boot/efi 파티션을 암호화하려고 합니다. 모든 것을 암호화할 수 있지만 새 매개변수를 허용하도록 GRUB2를 업데이트하는 데 문제가 있습니다. 내 기본 단계는 다음과 같습니다.
- /boot 및 /boot/efi 파티션 데이터를 /root에 복사합니다.
- 두 파티션 모두 마운트 해제
- 파티션을 luks1로 변환하고, 데이터를 암호화하고, 다시 마운트하고, 다시 이동합니다.
- 새로운 UUID로 fstab 및 crypttab 수정
- grub2-mkconfig를 사용하여 새 grub 구성을 생성합니다(이렇게 하면 insmod cryptodisk 및 기타 항목을 사용하여 /boot/efi/EFI/redhat/grub.cfg 파일이 적절하게 수정됩니다).
- 새 부트로더 설치
부트로더(GRUB2) 수정을 제외하고는 모든 것이 잘 작동합니다. grub2-install을 사용할 때 grub2가 uefi 보안 부팅 시스템을 업데이트할 수 없다는 오류 메시지가 나타납니다. efibootmgr을 사용해 보았지만 프로그램이 부트로더를 다시 설치하지 않고 현재 항목만 관리하는 것 같습니다.
필요한 luks1 암호화 지원을 사용하여 UEFI 보안 부팅 시스템에 grub 부트로더를 다시 설치하는 데 사용할 수 있는 절차가 있습니까?
미리 감사드립니다.