我记得读过一篇博客文章,其中说 Canonical 的某个人正在研究如何让 LUKS 在 17.04 中不带启动分区地工作。但是,当我全新安装 17.10 时,却找不到任何东西。我知道可以让 grub 处理 LUKS 加密,而且我自己也可以破解它,但有人知道这项工作发生了什么吗?我搜索了一段时间,没有找到这篇博客文章。
答案1
假设你正在运行 EFI 系统,EFI 系统分区(通常是磁盘上的第一个分区,安装在/boot/efi
)将总是需要解密,以便您的系统能够真正加载到 GRUB。
但是,你现在可以将/boot
其嵌入 LUKS 中。可以查看指南在这个答案中但是,这有几个注意事项:
- 每次更新内核/GRUB 时,您都需要在系统上“重新安装”它,并确保系统能够识别它。据我所知,没有自动挂钩。
- GRUB 不会完全接管 LUKS。如果我没记错的话,它会提示输入密码并从那里开始,但它不会取代 LUKS。
- 据我所知,这种设置很有可能以令人惊奇的方式被打破。
说实话,几乎没有理由坚持/boot
使用 LUKS。它只会带来很多不必要的痛苦,让人的生活变得更糟,却没有太多好处。主要风险(篡改内核)可以通过以下方式轻松缓解:使用安全启动对内核和任何模块进行签名。如果您想运行此数字签名强制执行,请阅读链接的整个 wiki 页面。