在标准 Debian 安装过程中,我决定实施额外的安全因素,即单独 USB 密钥上的 /boot。在 Debian 指南中我发现它只是这样写的。
http://madduck.net/docs/cryptdisk/
如果您不喜欢未加密的 /boot 分区,您可以通过 USB 闪存盘启动系统,除了启动和升级内核之外,您可以将其与系统分开。您所需要做的就是将引导加载程序和内核安装到设备上,并将其配置为使用硬盘上正确的加密卷作为根文件系统。
我知道如何将 GRUB 安装到 USB 记忆棒上
grub-install --root-directory=/mnt /dev/sdb
但我不知道如何将当前安装的内核映像复制到 USB 记忆棒。一切都是从现场环境中完成的。在全新安装中,我手动设置分区,然后继续安装,在我/root准备 /home好使用并且/boot已在 USB 密钥上指定后,我选择“继续测试”我的实时环境,从中将 GRUB 安装到/boot分区上,但我该如何放置初始ramdisk在那里?
因为这是系统启动所必需的。另外,这种方法不需要我编辑 my/etc/fstab或/etc/crypttab吗?
答案1
/boot这是在外部 USB 闪存上实现相同目标的稍微不同的方法:
(1) 按照以下方式使用 gnome-disk-utility 包在现有 Debian 安装下准备 USB 闪存引导设备(这不一定是唯一的方法,但经过测试并且对我有用)。
(1.1) 使用MBR方案格式化设备。
(1.2) 创建单个ext2分区,使其占据所有可用空间。
(1.3) 步骤1.2完成后,进入“编辑分区”并设置可启动标志。
(2) 使用 Debian 的标准安装程序安装 Debian。
(2.1) 启动您的安装介质,即 Debian 安装 cd/dvd 或另一个写有 .iso 映像的 U 盘。
(2.2) 选择国家/语言,设置用户和密码,回答所有常规问题(这里不感兴趣)直到磁盘分区对话框。
(2.3)选择手动分区。
(2.4) 在主磁盘驱动器上创建 raid/lvm/加密卷。在它之上会有一个文件系统,可能是 ext4。
(2.5) 转到该文件系统的属性并选择挂载为/和“完成此分区”。
(2.7) 在列表中找到U盘,上面应该有ext2。
(2.8) 转到其属性并选择 mount as/boot和可选的noatime附加标志。有一个格式化分区的选项,不要做吧! “保留文件”。
(2.9) 选择“完成此分区”。
(2.10) 选择“完成分区”或类似选项,安装过程应继续,出现一些简单的对话框。
(2.11) 在其他一些简单但我们不感兴趣的对话框之后,将出现一个对话框,询问在哪里安装 GRUB,您应该同意将其安装在您的 USB 引导闪存/dev/sdX中。X
安装完成后,您应该能够从 BIOS 中选择适当的选项从闪存启动。
关于您发出命令的问题grub-install --root-directory=/mnt /dev/sdb,更喜欢chroot /mnt grub-install /dev/sdb,因为--root-directory选项已被弃用。除此之外,只要满足以下条件,它就可以工作:
(1) 主文件系统(加密的 HDD/SSD/等)层次结构未加密并安装在/mnt主机操作系统(即 Debian livecd)下,引导分区安装在/mnt/boot;
(2) 新系统之前已安装到该分区。也就是说,/mnt里面有东西(/usr/bin,/usr/sbin等等);
(3)grub-install您签发后chroot /mnt update-grub;
(4) 您编辑/etc/fstab和/etc/crypttab。
这比通过 Debian 安装程序安装所有东西要麻烦得多。
现在,我想对步骤 1、1.1、1.2 和 1.3 发表评论。我使用的是 Debian 7.5 安装程序,grub-install如果分区是通过其自己的安装程序创建的,则该安装程序会失败。这并不意味着安装程序中有错误,可能是我操作错误。通过创建的分区效果gnome-disk-utility很好。现在我在 LVM 之上有一个 dm-crypt/luks 卷,它位于软件 RAID 之上(一个MD设备),而该设备又位于物理驱动器上。