LUKS без раздела начальной загрузки
Я не забываю читать запись в блоге, что кто-то в Каноническом работал над созданием работы LUKS без раздела начальной загрузки для 17,04. Однако, когда я сделал новую установку 17,10, я не мог найти что-либо. Я знаю, что это возможно заставить личинку обработать шифрование LUKS и могло, вероятно, взломать его сам, но кто-либо знает то, что произошло с упомянутой работой? Я искал некоторое время и не удался найти запись в блоге.
1 ответ
Принятие Вас выполняет систему EFI, Системный Раздел EFI (обычно первый раздел на Вашем диске, смонтированном в /boot/efi) должен будет всегда дешифровываться так, чтобы Ваша система могла на самом деле загрузиться в GRUB.
Однако можно теперь придерживаться /boot самостоятельно в LUKS. Руководство для этого доступно в этом ответе на сайте, однако это имеет несколько протестов:
- Каждый раз, когда Вы обновляете свое ядро/GRUB, необходимо будет "переустановить" его в системе и удостовериться, что вещи распознают его. Насколько я могу сказать, нет никакого автоматизированного рычага.
- GRUB не будет занимать LUKS полностью. Если я буду помнить правильно, то это запросит пароль и пойдет оттуда, но это не заменит LUKS.
- Эта установка, насколько я могу сказать, имеет очень достойный потенциал для прерывания потенциально удивительных путей.
Честно говоря, нет мало ни к какой причине на самом деле придерживаться /boot в LUKS. Это правые дела довольно мало ненужной боли и делает жизнь намного хуже для не слишком много усиления. Основной риск (вмешивающийся в ядро) может легко быть снижен при помощи Защищенной загрузки для подписания ядра и любых модулей. Если Вы хотите выполнить это осуществление цифровой подписи, прочитайте всю связанную страницу Wiki.