Uefi dan enkripsi disk lengkap dengan lvm on luks

4

Saya memiliki mesin ASUS di mana saya dapat memilih antara BIOS lama dan UEFI baru. Saya selalu menggunakan sistem BIOS lama, menjalankan Debian terenkripsi lengkap dengan konfigurasi berikut:

  1. Partisi boot tidak terenkripsi dipasang di /boot

  2. Semua sisa ruang dienkripsi dengan LUKS, dan dengan semua volume logis LVM ( /, swap, /home) di atasnya.

Semuanya bekerja dengan baik dan tanpa masalah. Tapi saya berkeliaran jika saya ingin membuat instalasi baru dari awal (saya tidak ingin mengonversi barang) menggunakan UEFI, dan saya harus membuat partisi FAT32 EFI yang dipasang di /boot/efi, apakah saya masih memerlukan /bootpartisi yang tidak dienkripsi , atau hanya Partisi EFI dan sisanya dienkripsi?

Dengan kata lain, konfigurasi mana yang benar?

  • /boot/efi
  • /boot
  • Volume LUK terenkripsi

atau

  • /boot/efi
  • Volume LUK terenkripsi?
Egidiux
sumber

Jawaban:

2

Ya, saya tahu ini adalah jawaban yang cukup terlambat tetapi, lebih baik terlambat daripada tidak pernah ...

Saya tidak tahu apakah Debian memiliki alat untuk melakukannya, tetapi menggunakan Arch Linux Anda dapat membuat tata letak disk seperti ini:

  • EFI partisi (mount /boot/efi) dengan grub EFI bootloader , Format FAT32 jenis EFI partisi EF00. Bisa jadi milik Anda /dev/sda1. Partisi ini hanya berisi grub stub, untuk meminta kata sandi untuk memasang partisi boot Anda.
  • partisi boot (terpasang /boot) yang merupakan perangkat luks crypto. Setelah crypto membuka kunci partisi ini, Anda dapat memformatnya menggunakan sistem file apa saja yang didukung grub tetapi (ext4 misalnya). Ini akan menjadi milikmu/dev/sda2
  • Perangkat Crypto yang akan menyimpan semua partisi yang tersisa sebagai volume logis. Perangkat Crypto, dengan LVM dan volume logisnya (3 lapisan). Ini akan menjadi milikmu /dev/sda3.
    • Di sini, Anda dapat membuat volume logis sebanyak yang Anda inginkan / butuhkan. Kunci yang membuka partisi ini akan digunakan untuk mengakses data pada semua volume logisnya.

Meminjam dari Arch Wiki, ini adalah tata letak disk Anda akan terlihat seperti:

+---------------+----------------+----------------+----------------+----------------+
|ESP partition: |Boot partition: |Volume 1:       |Volume 2:       |Volume 3:       |
|               |                |                |                |                |
|/boot/efi      |/boot           |root            |swap            |home            |
|               |                |                |                |                |
|               |                |/dev/store/root |/dev/store/swap |/dev/store/home |
|/dev/sdaX      |/dev/sdaY       +----------------+----------------+----------------+
|unencrypted    |LUKS encrypted  |/dev/sdaZ encrypted using LVM on LUKS             |
+---------------+----------------+--------------------------------------------------+ 

Peringatan :

  • Grub akan meminta kata sandi untuk membuka kunci /boot, ram disk awal akan meminta kata sandi LAGI (menyebabkannya, /bootterkunci), dan mungkin saat memasang rootpartisi Anda ini akan terjadi sekali lagi. Kuncinya di sini adalah dengan menggunakan kunci master dalam Anda /boot (dan mungkin dalam initrd Anda dengan FILES=pilihan mkinitcpiodan menambahkannya dengan luksAddKey. Partisi boot Anda dienkripsi sehingga, tidak ada perlu khawatir sebab kuncinya adalah di dalam sebuah partisi terenkripsi. chmod 000 keyfile.binAdalah temanmu.
  • Tambahkan encrypt lvm2ke mkinitcpiokait.
  • Jika karena alasan tertentu sistem Anda tidak dapat menggunakan kunci, kata sandi akan ditanyakan lagi.
  • Anda masih akan rentan terhadap serangan Pembantu Jahat yang mengeksplorasi kegagalan Boot Dingin . Yang terbaik yang dapat Anda lakukan di sini adalah:
    • Aktifkan Boot Aman.
    • Tandatangani Grub EFI Anda.
    • Cabut Microsoft CA di Motherbord Anda (Anda tahu, tidak bisa mempercayai siapa pun).
    • Ingatlah untuk Menandatangani Anda grub efi setiap kali Anda memiliki grub-efipembaruan paket.

Bacaan lebih lanjut:

Setelah beberapa penelitian tentang perlunya menjaga partisi boot di luar lvm (sejauh yang saya tahu, grub-pc / bios telah lvmdan luksmodul) saya menemukan orang ini di Arch Forum mengkonfirmasi bahwa tidak perlu menyimpan /bootpartisi crypto cadangan.

Anda dapat menginstal grub pada Anda ESP, dan juga menyuruhnya untuk membaca file konfigurasi dari esp seperti ini :

# grub-install --target=x86_64-efi --efi-directory=esp --bootloader-id=grub --boot-directory=esp

setelah itu, buat ulang conf:

# grub-mkconfig -o esp/grub/grub.cfg

Dan, sepertinya itu grubadalah satu-satunya bootloader yang memiliki dukungan untuk boot lvm + crypto tanpa partisi / boot terpisah.


sumber
Apa gunanya partisi / boot? Mengapa tidak hanya membuat grub membuka / langsung, dan menginstal file boot ke <root> / boot?
naught101
1
sepertinya Anda tidak membaca bagian "Bacaan Lebih Lanjut", bukan? Maksud dari cadangan /bootadalah karena beberapa waktu lalu grub tidak dapat membuka drive asli yang dienkripsi luks.
Apakah itu benar-benar masuk akal untuk membuat konfigurasi grub tidak terenkripsi pada ESP? Bukankah lebih masuk akal jika esp hanya berisi grub yang baru saja dikonfigurasikan untuk meminta frasa sandi dekripsi untuk / boot yang sebenarnya berisi konfigurasi dan kernel?
larkey