第一次使用 LUKS 进行全盘加密。抱歉,新手问题有点多。
在使用全盘加密之前,我曾经有单独的分区/boot,/这样home就可以重新安装操作系统,同时保留/home分区中的数据。
我想保留使用全盘加密的单独分区的相同原则。启用加密后,Kubuntu 22.04 安装程序不允许手动定义分区。只有一个选项“清除所有内容并启用加密”(抱歉,不记得确切的措辞)。选择了其他启动选项:安全启动和 UEFI。这是成功安装 Kubuntu 22.04 后的分区布局。
lsblk -e7
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
sda 8:0 1 0B 0 disk
nvme0n1 259:0 0 476.9G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi
├─nvme0n1p2 259:2 0 1.7G 0 part /boot
└─nvme0n1p3 259:3 0 474.8G 0 part
└─nvme0n1p3_crypt 253:0 0 474.8G 0 crypt
├─vgkubuntu-root 253:1 0 473.8G 0 lvm /
└─vgkubuntu-swap_1 253:2 0 980M 0 lvm [SWAP]
不知道磁盘是什么,机器有一个 NVMe 磁盘。现在加密分区中sda只有一个根分区。假设我想从头开始重新安装操作系统,使用磁盘加密,使用相同的密码。目录将丢失。/nvme0n1p3/home
问 1.是否可以添加单独的卷并分配/home分区?这样重新安装操作系统时可以保留现有的加密数据?我可以使用终端,重新格式化现有磁盘以从头开始重新启动。这里的重点是 LUKS 允许保留现有/home卷以供将来安装操作系统。
问2.假设问题 1 是可行的,并且现在加密磁盘中有单独的/和/home分区。我想安装一个操作系统,可以是任何操作系统,较新的 Kubuntu、Arch、EndeavourOS 等。操作系统的本机安装程序是否允许选择全盘加密、重新使用相同的密码、重新使用现有的分区布局、重新格式化/boot等/。但保留现有的加密/home?
问3.LUKS 每次重启时都要求输入加密密码,这正常吗?我看到一个 Windows 10 用户启用了 Bitlocker。不知何故,Windows 设法加密磁盘而不要求输入额外的密码。用户继续以与 Bitlocker 之前相同的方式使用 Windows,即直接启动到登录 Windows。从高层次上讲,LUKS 和 Bitlocker 之间的根本区别是什么,以至于 LUKS 需要单独的密码?
答案1
我无法完全回答所有问题,但这里有部分答案(太多内容无法在评论中说明)
Q1. 可以将 /home 设为单独的 LUKS 分区,但这样操作起来会比较麻烦 - 至少在 Ubuntu 下 - 我认为仅使用安装程序无法实现这一点。
由于您使用的是 LUKS 下的 LVM,因此您实际上可以使用当前设置执行此操作。答案是
- 缩小你的 vgkubuntu-root 分区(尽可能缩小文件系统 - 这需要从启动盘完成,
- 然后缩小 LVM 中的 vgkubuntu-root 分区
- 然后将文件系统扩展到该分区的新大小
- 然后在 LVM 中为 home 创建新分区
- 然后挂载它。由于 LVM 位于加密磁盘上,因此 /home 将被加密。
Q2. 可能不会,但这取决于安装程序的智能程度。从技术上讲这当然是可行的,而且毫无疑问有些发行版会这样做。
Q3。是的,LUKS 每次重启时询问加密密码是正常的。我不知道为什么(至少 Ubuntu 和 Debian)不提供这种功能,尝试改造它是一件非常麻烦的事 - 但这是可行的(我已经这样做了,太可怕了)。据我所知,LUKS 需要密码没有根本原因,完全可以篡改 PCR 寄存器(即 TPM)来生成可用于解锁分区的密钥。我评论说,这一切都类似于 Bitlocker 的工作方式 - 据我所知,Bitlocker 和 LUKS 不兼容。(它的用途可能非常有限,但我在之前的笔记本电脑上这样做时写了一篇博客 -https://davidgo.gottschen.com/2017/06/20/dell-venue-11-pro-7139-as-a-linux-tablet-with-full-disk-encryption/- 并且其中包含指向其他有用资源的链接)