Таким образом, у меня есть ноутбук, и я хочу видеть, как трудно он должен мигрировать на полное шифрование диска. Я сделал это от чистой установки однажды и даже записал ПРАКТИЧЕСКОЕ РУКОВОДСТВО, которое у меня, к сожалению, больше нет доступа к (корпоративная Wiki). Мое ожидание состоит в том, что выполнение его от чистой установки было, вероятно, очень автоматизировано и таким образом, миграция могла бы быть намного более трудной. Я искал руководства, но они все, кажется, отмечены с некоторым вариантом "Duplicate", "Обновление Потребностей", "Кандидат на Удаление", и т.д. таким образом, что очень трудно теперь сказать, который является самым соответствующим руководством.
Я делал такую миграцию один или два раза, но вы должны иметь возможность использовать Google для решения возникающих проблем. Это не полный ответ, просто грубые шаги того, что вам нужно сделать. Эти шаги должны выполняться с Live CD и включать операции с LUKS и LVM, поэтому вы также можете получить Live CD, содержащий последнюю версию KDE Partition Manager 3.0, и использовать его для операций LUKS и LVM.
Если у вас достаточно свободного места (более 50%), вы можете просто
Затем вам нужно будет обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в ваших зашифрованных rootfs, обновить ваши initramfs и конфигурацию grub.
Это все еще оставляет / boot незашифрованным. Вы также можете зашифровать / загрузить, но это добавляет несколько дополнительных шагов, поэтому сначала убедитесь, что все выше работает. Для того, чтобы зашифровать загрузку, вы должны переместить содержимое раздела / boot в ваш rootfs / boot /. Затем в / etc / default / grub вам нужно добавить GRUB_ENABLE_CRYPTODISK=y
и удалить старый незашифрованный / boot. Затем вам снова нужно обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в зашифрованные rootfs, обновить конфигурацию initramfs и grub. После этих шагов grub будет запрашивать парольную фразу перед загрузкой, однако она не передает ее initramfs при загрузке, поэтому cryptsetup будет запрашивать ее снова. Поэтому вам нужно будет добавить файл ключа luks в ваш контейнер luks и поместить его в ваши initramfs. Например. мой файл / etc / crypttab содержит
luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks