Мне удалось получить FDE (Полное шифрование диска), работающее вполне счастливо над системой MBR/BIOS с помощью таблицы Раздела DOS, у меня только есть/dev/sda1 и/dev/sda2 для подкачки и корневых контейнеров LUKS соответственно. Это работает, потому что по состоянию на начало 2014, grub2 поддержки зашифровал / разделы начальной загрузки путем собственной поддержки dm-склепа в части загрузчика, который записан в MBR. Все хорошо.
Однако с UEFI является способным grubx64.efi двоичный файл к обработке dm-crypt/luks контейнеры? У меня не было радости в том, чтобы заставлять это работать. Все примеры, которые я видел, или были с зашифрованной начальной загрузкой/, но использование MBR/BIOS или начальная загрузка/, незашифрованная с UEFI.
Я знаю, что это - меньше проблемы с ядрами со знаком и UEFI безопасная начальная загрузка, но это все еще оставляет возможность открытой для некоторой формы вмешательства (изменяющийся initramfs - или это подписывается?, заменяя модуль личинки? и т.д.).
Обратите внимание, что любые ответы должны относиться к 14.04 LTS а не 16.04 и т.д. Если grubx64.efi скучал по стороне dm-склепа для 14,04 затем, это прекрасно, я могу использовать MBR/BIOS. Я просто пытаюсь узнать, на самом деле ли это возможно.
Заранее большое спасибо,
John.
Насколько я могу сказать, загрузчик UEFI не способен к использованию зашифрованной области начальной загрузки, где вариант MBR. Очевидно, существует меньше беспокойства с UEFI, поскольку можно использовать безопасную начальную загрузку и подписанные изображения ядра (более строго осуществленный в 16,04). С MBR все может быть зашифровано кроме первой стадии основанный на MBR загрузчик личинки (что-то должно дешифровать корень!). Это могло быть поставлено под угрозу, но будет намного более твердо сделать, чем говорят что замена ядра на незащищенный система UEFI. Также не забудьте уезжать, 2 048 секторов в начале диска MBR (как более новое fdisk
делает) для дополнительной комнаты для загрузчика первой стадии дешифрования. Если Вы не можете сделать этого затем, необходимо будет пойти для отдельного незашифрованного раздела начальной загрузки.
Hope это помогает другим.
Я задавался вопросом, существует ли какое-либо обновление о возможности зашифровать начальную загрузку рядом с корнем, с помощью EFI + Безопасная начальная загрузка.
Но я не мог адаптироваться, пример к мягкой фетровой шляпе 28 (не попробовал человечность 18.04 до сих пор).