암호화된 부팅 파티션을 사용하여 Grub 설치

tag-icon tag-icon linux boot partition grub2 encryption
암호화된 부팅 파티션을 사용하여 Grub 설치

설치 중에 암호화된 부팅 파티션(lvm - uefi)을 사용하여 아치(또는 모든 배포판) 설치를 수행하려고 합니다. 작동시키려고 하는데 아래 그림에서 이 오류가 표시됩니다. 많이 검색했지만 아무데도 찾지 못했고 GRUB_ENABLE_CRYPTODISK=1grub config()의 이 옵션 때문에 이것이 가능하다고 생각합니다.

내부 아치-chroot /mnt

Arch-chroot /mnt 내부 << EFI 파티션은 FAT 32이고 나머지는 EXT4입니다>>

답변1

grub-install찾을 것으로 예상했지만 /boot찾을 수 없었습니다. 귀하에 따르면 ... lsblk에 있기 /mnt/boot때문에 이 시점에서 새 설치를 시작하지 않았습니다.

그러나 저는 Sheldon의 의견에 동의합니다. EFI 시스템 파티션(줄여서 ESP)을 Linux 암호화 파티션에 넣는 것은 작동하지 않습니다.

UEFI 펌웨어는 다음 조건 중 하나를 충족하는 읽기 가능한 FAT 파티션을 찾으려고 합니다(FAT32가 바람직하지만 최신 UEFI 버전에서는 다른 형태의 FAT도 허용함).

  • 해당 PARTUUID는 UEFI 부팅 NVRAM 변수(Linux에서 액세스 가능)에 기록된 값과 일치 efibootmgr하고 파티션에는 해당 NVRAM 변수에 경로 이름이 지정된 부팅 파일이 포함되어 있습니다(예: 보안 부팅 호환성 항목을 사용하는 경우) \EFI\Arch\grubx64.efi.\EFI\Arch\shimx64.efi
  • 또는 파티션에 경로 이름이 Windows 스타일에서 \EFI\BOOT\BOOTx64.efi(= 이동식 미디어/대체 부팅 경로) 로 표현될 수 있는 파일이 포함되어 있습니다.

현재 구성에 따라 펌웨어는 파티션을 볼 수 있지만 sda1그 내용은 분명히 임의의 쓰레기이기 때문에(암호화되어 있기 때문에) 펌웨어는 전혀 부팅할 수 없습니다.UEFI 펌웨어가 사용하려는 정확한 디스크 암호화 체계를 지원하지 않는 한 ESP 파티션은 암호화되지 않은 상태로 유지되어야 합니다. 일반적으로 UEFI 펌웨어는 암호화된 ESP 파티션에서 부팅할 수 없습니다.ESP에는 표준 부트로더 구성 요소만 포함되어야 하므로 이는 실제로 큰 문제가 되지 않습니다. 보안 부팅이 적용되는 경우 펌웨어는 부트 로더 암호화 서명의 유효성을 확인합니다.

UEFI 펌웨어 구현을 통해 보안 부팅 키를 변경할 수 있는 경우 공장 기본 키를 자체 생성된 키로 바꿀 수 있으며 시스템에서는 보안 부팅 키만 허용합니다.당신의열쇠.

ArchWiki에는이 예제 구성은 UEFI 부팅을 사용한 전체 디스크 암호화를 위한 것입니다.

+---------------------+----------------------+----------------------+----------------------+----------------------+
| BIOS boot partition | EFI system partition | Logical volume 1     | Logical volume 2     | Logical volume 3     |
|                     |                      |                      |                      |                      |
|                     | /efi                 | /                    | [SWAP]               | /home                |
|                     |                      |                      |                      |                      |
|                     |                      | /dev/MyVolGroup/root | /dev/MyVolGroup/swap | /dev/MyVolGroup/home |
| /dev/sda1           | /dev/sda2            |----------------------+----------------------+----------------------+
| unencrypted         | unencrypted          | /dev/sda3 encrypted using LVM on LUKS1                             |
+---------------------+----------------------+--------------------------------------------------------------------+

최대 호환성을 위해 BIOS 부팅 파티션도 포함되어 있지만 UEFI 기본 스타일로만 부팅하려는 경우 BIOS 부팅 파티션 및 이와 관련된 모든 단계를 생략할 수 있습니다. 이 레이아웃에서 ESP는 /efi최종 설치와 동일한 방식으로 마운트되며( /mnt/efi이 경우 스크린샷에 ESP가 있는 경우에도 마찬가지임) /boot별도의 파일 시스템이 아니라 루트에 하나만 있습니다. 파일 시스템 일반 디렉터리.

답변2

나는 매우 확신한다ESPLVM 래핑이 아닌 단순(FAT 형식) 파티션이어야 합니다. 부팅 파티션을 암호화할 수 있더라도 LVM 내의 암호화된 ESP는 실행되지 않습니다.

암호화된 부팅 파티션(lvm - uefi)을 사용하여 아치(또는 모든 배포판)를 설치하려고 합니다.

이것아치 문서많이 다룹니다. 이것은 훌륭하지만 너무 많은 다양한 시나리오가 설명되어 있기 때문에 혼란스러울 수도 있습니다. Ubuntu를 시도해 보면 더 쉬울 수도 있습니다.어떻게암호화된 "/boot/"를 포함하며 너무 복잡하지 않습니다.

관련 정보