Запрошенный пароль LUKS дважды на начальной загрузке несмотря на отдельный, незашифрованный раздел начальной загрузки?
Ключевые детали
Мой диск расположения GPT имеет следующее расположение раздела:
/dev/sda---|
|sda1 - Windows Recovery Partition
|sda2 - EFI Partition (Shared, Windows and Linux)
|sda3 - Windows Primary Partition
|sda4 - LUKS encrypted LVM partition
--------| /dev/mapper/volume-group-root: Linux root "/"
--------| /dev/mapper/volume-group-swap_1: Linux swap
Текущая проблема:
На начальной загрузке GRUB сразу запрашивает "главный ключ". Ввод пароля LUKS позволяет меню начальной загрузки GRUB открываться.
После выбора ОС Linux для начальной загрузки другая подсказка пароля, кажется, разблокировала раздел LVM.
Вторая подсказка имеет смысл - но почему тот первый появляется?
Обычный ответ
GRUB должен дешифровать диск считать загрузочные файлы
Это имело бы смысл, но моя установка GRUB должна совместно использовать незашифрованный раздел EFI с Windows. Существуют определенно загрузочные файлы там так или иначе...
Шаги я следовал:
sudo mount /dev/mapper/volume-group-root /mnt
sudo mount /dev/sda1 /mnt/boot/efi
for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done
sudo chroot /mnt
grub-install /dev/sda
update-grub
К сожалению, проблема сохраняется. Любые мысли или совет поиска и устранения неисправностей ценятся.
N.B - Я подозреваю, что личинка поместила файлы в раздел EFI, но неправильно настроена таким образом, что это пытается посмотреть в неправильном месте на начальной загрузке? И прекрасная начальная загрузка Ose Windows и Linux все же. Не уверенный, как исследовать это.
Дополнительная информация
- Текущий раздел EFI не в зашифрованном LVM. (Извинения, если моя схема неясна, приветствие совета о том, как сделать это более ясным!)
- Вы отвечаете, предлагает, чтобы мне были нужны / раздел начальной загрузки и отдельный раздел EFI (я думаю), затруднения, которые я испытываю, состоят в том, что различные интернет-источники предполагают, что только один раздел EFI необходим:
Эта таблица указывает начальную загрузку / или EFI
Это отвечает, что состояния/boot/efi являются конвенцией и не необходимые
и наконец, этот источник указывает, что я могу заставить Linux совместно использовать раздел Windows EFI без любых проблем, который является моей целью здесь.
Возможно, это - вся связанная конфигурация fstab/other, а не проблемы раздела?
1 ответ
Что-то выключено в Вашей конфигурации. Должен быть a /boot раздел, который является вне зашифрованного раздела LVM. Этот раздел является отдельным от EFI parition. На самом деле раздел EFI смонтирован в /boot/efi. Незашифрованный /boot раздел - то, что содержит initrd (начальный псевдодиск, временная корневая файловая система, используемая во время начальной загрузки), который содержит все необходимое для системного дешифрования. initrd, не GRUB, то, что обычно работает во время начальной загрузки для просьбы Вас Ваш пароль и затем разблокировало все сразу, таким образом, можно загрузить и выполнить установленную систему.
Необходимо будет создать новый незашифрованный раздел и перемещение /boot там. Затем Вы должны будете обновить Ваш /etc/fstab. Если у Вас нет a /etc/crypttab файл, необходимо сделать тот, который дешифрует /dev/sda4 (UUID обычно используется в этом файле). Затем выполненный:
sudo update-initramfs; sudo update-grub
восстановить все Ваши загрузочные файлы.
Можно создать /boot на /dev/sda или можно использовать другое устройство (даже раздел карты с интерфейсом USB), если Вам нравится. Отформатируйте свое новое /boot раздел с помощью расширения [2,3,4] (используют ext2, если Вы помещаете его на USB). Установщик Ubuntu использует ext2 для /boot раздел.
Дальнейшее объяснение
В Вашей дополнительной информации таблица, на которую Вы ссылаетесь, обращается к Дуге Linux, с которым я использовал очень мало, и намного менее знакомо. Что касается второй ссылки на точку монтирования для раздела EFI, придерживающегося конвенции, поможет в конечном счете в случае, если необходимо диагностировать, или Вы настраиваете систему, которой кто-то еще может управлять. Я никогда не пытался монтировать раздел EFI где-либо еще, но если он работает на Вас, пойдите для него. Если тот путь является hardcoded в каком-либо приложении, которое должно получить доступ к разделу, это могло оказаться проблематичным.
Да, если у Вас уже есть раздел EFI, Windows и Ubuntu могут счастливо совместно использовать тот же раздел EFI, но initrd файлы, чтобы дешифровать и загрузиться в Ubuntu не сохранены на разделе EFI (/boot/efi на стандартной установке). Они сохраняются в /boot. Мне любопытно знать, как Вы выполнили установку, поскольку Ubuntu не обрабатывает зашифрованный /boot раздел хорошо. Во всяком случае использование графического установщика и выбор FDE приводят к следующей структуре раздела:
sda
├─sda1 boot partition on /boot
├─sda2 EFI partition on /boot/efi
└─sda5 LUKS encrypted partition
└─LVM PV
├─root Logical Volume on /
└─swap Logical Volume as swap
Возможно, Ubuntu будет один день лучше поддерживать /boot шифрование, но если Вы хотите обойтись единым паролем тем временем, Вы, вероятно, просто оказываетесь перед необходимостью создавать незашифрованный раздел для /boot, отделитесь и отличный от Вашего раздела EFI. Существует допустимая озабоченность по поводу незашифрованного /boot раздел, который является, почему я упоминаю возможность использования карты с интерфейсом USB (отдельное устройство) для корпуса Вашего /boot раздел.
Дальнейшее расследование (Это наиболее вероятно, что Вы ищете),
Таким образом, я сделал немного рытья, и похоже, что другие настроили системы без /boot раздел, хотя это требовалось во время начальной установки системы. Смотрите у основания этой статьи, которая описывает установку, подобную тому, что Вы говорите, что работаете. В нем автор представляет фиксацию для второй подсказки пароля. В основном автор обходит Вас посредством создания файла ключей, добавления его к Вашему разделу LUKS и затем тонкой настройке initrd файла для использования файла ключей, где система просит у Вас пароль во второй раз.