Início / unix / Perguntas / 424899
Accepted
Andrew.Wolphoe
Asked: 2018-02-18 19:24:40 +0800 CST

Não é possível inicializar o Arch Linux após a instalação com criptografia de todo o sistema dm-crypt (BIOS)

  • 772

Então estou instalando um novo Arch com o documento aqui para uma criptografia de todo o sistema.

A primeira parte que me confunde é aqui que o documento escreveu:

Aviso: GRUB não suporta LUKS2. Não use LUKS2 em partições que o GRUB precisa acessar.

Mas na parte posterior da seção, ele me disse para executar o comando cryptsetup luksFormat /dev/sda3. Mas enquanto eu o executo, ele pede uma senha, mas não diz que o GRUB não suporta LUKS2?

Mais tarde, digito a senha, desço para a instalação do grub , que corro grub-mkconfig -o /boot/grub/grub.cfge diz filaed to connect lvmetad, mas como é um aviso, ignorei.

Mais tarde, passo pelo processo até a última parte sem obter nenhum erro.

Mas então eu saio arch-chroote reinicio, mas não consigo inicializar, pulei para o próximo sistema operacional (que é o Windows 10 no meu caso), por quê? Qual parte eu errei? Como resolver isso?

PS Aqui está uma tabela do meu disco com comandolsblk

NAME                 SIZE     TYPE    MOUNTPOINT
sda                  114.6G   disk    
  sda1               4G       part
  sda2               4G       part    /mnt/boot/efi
  sda3               16G      part    
    cryptboot        16G      crypt   /mnt/boot
  sda4               90.6G    part    
    lvm              90.6G    crypt
      AALEvol-swap   8G       lvm     [SWAP]
      AALEvol-root   82.6G    lvm     /mnt
arch-linux dm-crypt

2 respostas

  1. GRUB não suporta (atualmente) LUKS2, então /boot não pode ser criptografado com LUKS2.

    cryptsetup (desde a versão 2.1.0) cria LUKS2 por padrão, a menos que especificado de outra forma pelo empacotador de distro. Atualmente, o ArchLinux produz contêineres LUKS2 por padrão.

    https://gitlab.com/cryptsetup/cryptsetup/blob/master/docs/v2.1.0-ReleaseNotes :

    A versão Cryptsetup 2.1 usa um novo formato LUKS2 em disco como o formato LUKS padrão e aumenta o tamanho do cabeçalho LUKS2 padrão.

    O legado LUKS (referenciado como LUKS1) será totalmente suportado para sempre, bem como um formato tradicional e totalmente compatível com versões anteriores.

    Ao atualizar uma distribuição estável, use a opção de configuração --with-default-luks-format=LUKS1 para manter a compatibilidade com versões anteriores.

    Você pode verificar se LUKS2 é o padrão para o seu tipo de configuração de criptografia:

    $ cryptsetup --help
[...]
Default compiled-in metadata format is LUKS2 (for luksFormat action).

Default PBKDF for LUKS2: argon2i
    Iteration time: 2000, Memory required: 1048576kB, Parallel threads: 4

    Em geral, não há um forte motivo para evitar o LUKS2, desde que você esteja ciente das advertências (como compatibilidade com GRUB ou uso excessivo de RAM na fase luksOpen).

    Se você quiser manter o LUKS1 por qualquer motivo, basta especificá-lo:

    # cryptsetup luksFormat --type luks1 /dev/sdx9
    • 2
  2. Best Answer

    Crie uma partição no início de sua unidade de disco rígido, seu tamanho deve estar entre 600 MB e 1 GB e, na configuração do Linux, marque essa partição como partição /boot . Você não deve criptografar a partição de inicialização, pois nenhum de seus dados potencialmente confidenciais será gravado nela.

    Se você deseja limpar todo o disco rígido antes de particionar novamente, sugiro que use fdisk -l | more para listar todas as suas unidades de disco rígido e todas as partições nelas, então, quando você encontrar a unidade, faça dd if=/dev/urandom of=/dev/sd(X) onde X é a letra do seu HDD.

    Em seguida, crie outras partições que serão criptografadas: 1./SWAP, 2./ROOT e 3. /HOME (opcional).

    • 1

relate perguntas