我已成功在 USB 随身碟上安装了 Linux Mint,并通过 Live CD 进行光盘加密(不是使用通用 USB 安装程序)。它在 BIOS 启动时要求输入密码 - 运行正常。
但是,是否可以对 UEFI 启动执行相同的操作?我知道 UEFI 适用于 FAT32,但不适用于 NTFS。但我无法确认是否支持任何 Linux 文件系统。最终是否可以在不加密的情况下安装它?
不幸的是,我尝试将 Linux Mint 从 Live CD 安装到 pen-drive 失败了。这是安装前和安装过程中的分区设置。
哪里错了?我该如何正确设置它?引导加载程序应该放在 dev/sdb1 还是 dev/sdb(有什么区别)?
答案1
只有EFI 系统分区(ESP) 必须是 FAT32 格式。UEFI 将在此查找操作系统加载程序。找到并选择加载程序后,UEFI 将运行它。加载程序可以实现对所需的任何文件系统的支持。
对于 Linux,GRUB 通常用作加载器。对于加密设置,最简单的方法是使用单独的非加密/boot
分区,该分区使用加密/
分区进行引导。
有人可能会说这种设置不安全,因为/boot
它没有加密,但归根结底,ESP 也没有加密,很容易被劫持。如果这是你的威胁模型的一个弱点,你必须:
- 签名内核和 initramfs
- 构建一个独立的 GRUB 加载程序来检查内核签名
- 签署 GRUB 加载程序
- 将您的密钥添加到 UEFI 密钥存储区
- 从 UEFI 密钥库中删除其他密钥
对于便携式设置,这不可行,因此未加密/boot
并不比加密更不安全。您的文件仍驻留在加密的 上/
。