我的目标是在 RHEL8 UEFI 安全引导系统上使用 luks1 加密我的 /boot 和 /boot/efi 分区,以实现完整的系统加密。
我能够在 BIOS 模式 RHEL8 安装和更新 grub 中加密 (LUKS1) 我的 /boot 分区以预加载必要的加密模块,但我试图在 UEFI 计算机上加密我的 /boot 和 /boot/efi 分区。我可以对所有内容进行加密,但在更新 GRUB2 以接受新参数时遇到问题。我的基本步骤是:
- 将/boot和/boot/efi分区数据复制到/root
- 卸载两个分区
- 将分区转换为 luks1、加密、重新挂载并将数据移回
- 使用新的 UUID 修复 fstab 和 crypttab
- 使用 grub2-mkconfig 创建新的 grub 配置(这会使用 insmod cryptodisk 和其他条目适当修改 /boot/efi/EFI/redhat/grub.cfg 文件)
- 安装新的引导加载程序
除了修改引导加载程序(GRUB2)之外,一切正常。使用 grub2-install 时,我收到一条错误消息,指出 grub2 无法更新 uefi 安全引导系统。尝试使用 efibootmgr,但似乎该程序不会重新安装引导加载程序,仅管理当前条目。
是否有一个程序可以用来在具有必要的 luks1 加密支持的 UEFI 安全启动系统上重新安装 grub 引导加载程序?
提前致谢。