Ya, saya tahu ini adalah jawaban yang cukup terlambat tetapi, lebih baik terlambat daripada tidak pernah ...
Saya tidak tahu apakah Debian memiliki alat untuk melakukannya, tetapi menggunakan Arch Linux Anda dapat membuat tata letak disk seperti ini:
- EFI partisi (mount
/boot/efi
) dengan grub EFI bootloader , Format FAT32 jenis EFI partisi EF00
. Bisa jadi milik Anda /dev/sda1
. Partisi ini hanya berisi grub stub, untuk meminta kata sandi untuk memasang partisi boot Anda.
- partisi boot (terpasang
/boot
) yang merupakan perangkat luks crypto. Setelah crypto membuka kunci partisi ini, Anda dapat memformatnya menggunakan sistem file apa saja yang didukung grub tetapi (ext4 misalnya). Ini akan menjadi milikmu/dev/sda2
- Perangkat Crypto yang akan menyimpan semua partisi yang tersisa sebagai volume logis. Perangkat Crypto, dengan LVM dan volume logisnya (3 lapisan). Ini akan menjadi milikmu
/dev/sda3
.
- Di sini, Anda dapat membuat volume logis sebanyak yang Anda inginkan / butuhkan. Kunci yang membuka partisi ini akan digunakan untuk mengakses data pada semua volume logisnya.
Meminjam dari Arch Wiki, ini adalah tata letak disk Anda akan terlihat seperti:
+---------------+----------------+----------------+----------------+----------------+
|ESP partition: |Boot partition: |Volume 1: |Volume 2: |Volume 3: |
| | | | | |
|/boot/efi |/boot |root |swap |home |
| | | | | |
| | |/dev/store/root |/dev/store/swap |/dev/store/home |
|/dev/sdaX |/dev/sdaY +----------------+----------------+----------------+
|unencrypted |LUKS encrypted |/dev/sdaZ encrypted using LVM on LUKS |
+---------------+----------------+--------------------------------------------------+
Peringatan :
- Grub akan meminta kata sandi untuk membuka kunci
/boot
, ram disk awal akan meminta kata sandi LAGI (menyebabkannya, /boot
terkunci), dan mungkin saat memasang root
partisi Anda ini akan terjadi sekali lagi. Kuncinya di sini adalah dengan menggunakan kunci master dalam Anda /boot
(dan mungkin dalam initrd Anda dengan FILES=
pilihan mkinitcpio
dan menambahkannya dengan luksAddKey
. Partisi boot Anda dienkripsi sehingga, tidak ada perlu khawatir sebab kuncinya adalah di dalam sebuah partisi terenkripsi. chmod 000 keyfile.bin
Adalah temanmu.
- Tambahkan
encrypt lvm2
ke mkinitcpio
kait.
- Jika karena alasan tertentu sistem Anda tidak dapat menggunakan kunci, kata sandi akan ditanyakan lagi.
- Anda masih akan rentan terhadap serangan Pembantu Jahat yang mengeksplorasi kegagalan Boot Dingin . Yang terbaik yang dapat Anda lakukan di sini adalah:
- Aktifkan Boot Aman.
- Tandatangani Grub EFI Anda.
- Cabut Microsoft CA di Motherbord Anda (Anda tahu, tidak bisa mempercayai siapa pun).
- Ingatlah untuk Menandatangani Anda grub efi setiap kali Anda memiliki
grub-efi
pembaruan paket.
Bacaan lebih lanjut:
Setelah beberapa penelitian tentang perlunya menjaga partisi boot di luar lvm (sejauh yang saya tahu, grub-pc / bios telah lvm
dan luks
modul) saya menemukan orang ini di Arch Forum mengkonfirmasi bahwa tidak perlu menyimpan /boot
partisi crypto cadangan.
Anda dapat menginstal grub pada Anda ESP
, dan juga menyuruhnya untuk membaca file konfigurasi dari esp seperti ini :
# grub-install --target=x86_64-efi --efi-directory=esp --bootloader-id=grub --boot-directory=esp
setelah itu, buat ulang conf:
# grub-mkconfig -o esp/grub/grub.cfg
Dan, sepertinya itu grub
adalah satu-satunya bootloader yang memiliki dukungan untuk boot lvm + crypto tanpa partisi / boot terpisah.
/boot
adalah karena beberapa waktu lalu grub tidak dapat membuka drive asli yang dienkripsi luks.