我只是尝试在虚拟机中设置 Debian(只是测试,然后将其安装到真实系统上)。
我一共设置了4个驱动器。 2 个模拟笔式驱动器的驱动器,稍后我想在其上安装引导加载程序和引导文件系统,以及另外 2 个驱动器。每个驱动器都配置为加密的 RAID1(md0_crypt 和 md1_crypt)。但是,我无法将启动文件系统放在 md0_crypt 上,因为我收到警告说cannot store the /boot FS on an encrypted partition, because it needs to load the kernel and initrd.
那么,我无法加密我的 /boot FS,这是否正确?引导FS仅用于引导加载程序(grub)还是还有其他什么?我希望出现这样的情况:如果我拔掉笔式驱动器,系统将无法再启动,因为 /boot FS 安装在笔式驱动器上。
答案1
正如消息所描述的,您无法放入/boot加密容器中。要解锁加密容器,您需要访问一些实用程序。如果这些实用程序位于加密容器内,您将处于僵局情况。
作为一个解决方法使用未加密的小型第三个 raid 容器,仅保存/boot文件系统。
从安全角度来看,这并不是一个很大的损失。应/boot仅包含技术数据。有一个小警告:如果您使用 GRUB 的密码,它应该与加密容器的密码不同。