我尝试使用以下方法建立超级安全的配置: 软件 RAID(1) -> LUKS -> LVM
为此,我有 2 个物理 SSD 驱动器(Crucial MX500)。
我将遵循此处提供的说明:
但我有几个问题。因为我计划使用 UEFI 进行全盘加密,所以我在考虑如何处理 ESP 分区和分离的/启动分区(我也想加密)。我发现的唯一答案是在物理磁盘之间克隆 ESP 分区,以便能够替换整个磁盘并将 EFI 条目添加到启动链。另一个想法是将 EFI 移动到另一个小磁盘,但当磁盘坏掉时会引入单点故障。
因为新版本的 Ubuntu 是与 GRUB 2.0.6 一起发布的,所以我确实依赖于 LUKS2 支持(但看起来实现中存在一些错误,我们仍然需要依靠 luks1 进行 /boot 加密和“metadata=0.9”来构建 RAID 阵列)
因此,我必须重新安排整个设置:
启动时提示输入密码,我将使用存储在我的 yubikey 上的密码来解决。
我的问题是,有人做过类似的事情吗?我所有的尝试都以 Minimal Bash 结束,或者根本无法启动。
我对每个系统启动阶段并不了解,所以我不知道如何在这个级别调试启动,但我的印象是系统不知道如何处理软件 raid 后面的 luks 分区。此设置更像是 arch/gentoo 用户的配置,但我相信我找到以前做过这件事的人,可以给出如何正确操作的建议。
我认为当 RAID 基于硬件时,所有这些都会变得简单得多。显然 RAID 本身不是备份,所以我还计划为我的 Synology 制作另一个副本(偏执模式)。