无法阻止加密的启动分区自动挂载

2024-6-10 • tag-icon

我安装了 Ubuntu 20.04 /root，其中swap、和/home作为 LUKS2 容器内的逻辑卷，以及/bootLUKS1 容器内的单独分区。我希望/boot分区不会在启动时自动挂载，以便在正常运行期间保持加密状态。我尝试将和noauto都添加到中，但启动时仍要求我输入分区密码，并且仍会挂载。我发现/etc/fstab/etc/crypttab/boot/boot这个问题据说可能是因为 EFI 系统分区是自动安装的，所以我也将其添加noauto到 ESP 中/etc/fstab。这阻止了 ESP 的自动安装，但/boot仍然会安装。我能够阻止它的唯一方法是从/etc/fstab或中删除该条目/etc/crypttab，但我想保留该条目。

这里是/etc/crypttab：

cryptboot UUID=... none luks,discard,noauto
cryptdrive UUID=... none luks,discard

和/etc/fstab：

/dev/mapper/ubuntu--vg-root / ext4 erros=remount-ro 0 1
/dev/mapper/cryptboot /boot ext4 noauto 0 2
UUID=5E3C-E672 /boot/efi vfat umask=0077,noauto 0 1
/dev/mapper/ubuntu--vg-home /home ext4 defaults 0 2
/dev/mapper/ubuntu--vg-swap none swap sw 0 0

答案1

事实证明，之所以/boot要安装，是因为unattended-upgrades.servicesystemd 单元已启用，并且它依赖于boot.mount。我通过运行解决了这个问题systemctl list-dependencies boot.mount --all --reverse。禁用unattended-upgrades.service有效。

答案1

相关内容