如何启动到 LUKS 加密环境?

如何启动到 LUKS 加密环境?

我的电脑里有一个驱动器。它用 LUKS 加密,我几乎成功地在其上安装了 Ubuntu 12.04。唯一的问题是引导加载程序 - GRUB2 无法安装在任何地方。尝试了外部 USB 驱动器和内部驱动器。

我也尝试制作自己的 grub,效果更好,但还是不行实际上启动驱动器。然后又回到busybox或initramfs或类似的东西。

那么有什么方法可以启动 LUKS 加密的驱动器吗?

答案1

替代安装支持 Luks 加密的 LVM 根目录。它甚至为加密的 LVM 提供了“引导”分区模式

您需要将 /boot 分区安装在非加密媒体上。这意味着要么有一个单独的 /boot 分区(“引导”默认设置),要么有一个保存启动分区的 USB 驱动器(如果使用后者,您也可以将加密密钥存储在其上)。这是因为您的计算机无法执行加密代码。您需要一些未加密的代码来解锁加密驱动器。如果您使用 USB 驱动器选项,请确保在更新时将其插入并安装在 /boot 上。(您可能还可以编写一个脚本来提醒您……)

特别注意:使用同一驱动器上的单独启动分区来存储引导加载程序代码可能会使您遭受“邪恶女仆”攻击,即拥有您计算机永久访问权限的人可以修改您的引导加载程序以记录您的密码,然后在您下次输入密码后返回并检索它。如果您只是使用加密来保护文件以防被盗,那么您不必担心这一点。如果您担心这一点,请将您的 /boot 放在拇指驱动器上,并确保拇指驱动器安全。

PS:我是在一个 LUKS 加密的 Archlinux 系统上写这篇文章的,它的驱动器看起来像这样:

/dev/sda:
    sda1: /boot - ext2 128M
    sda2: LUKS encrypted partition ~300GB
        LVM Physical Volume ~300GB
            logical volume: /root ext4 296GB
            logical volume: swap 4GB

我强烈推荐这个设置。

即使交换位于加密分区上(但在 Ubuntu 上可能不是),Hibernate 也能正常工作。如果您想要一个单独的 /home 分区,只需向 LVM 添加另一个卷即可轻松完成。所有这些都应该可以通过 Ubuntu 备用安装实现。

相关内容