Estou tentando configurar a criptografia de disco completo em um sistema KDE Neon (obviamente, seguindo os guias do Arch Wiki sobre o assunto ). Algumas informações relevantes sobre a configuração:
- O sistema tem dois volumes de nível superior:
- A partição do sistema EFI, que é tão normal quanto um ESP pode ser
- Um único volume LUKS2 com LVM aninhado dentro dele que hospeda todo o sistema, incluindo arquivos
/boot
.
- O sistema está usando GRUB 2.06, que inclui suporte LUKS2 limitado. O volume LUKS2 está configurado para ser compatível com esta versão do GRUB.
- A inicialização segura está desativada no momento, embora possa ser ativada no futuro.
Seguindo os guias, tenho um sistema que funciona principalmente como pretendido: o GRUB solicita a senha da unidade e, se a senha correta for inserida, finaliza sua sequência de inicialização e carrega o sistema operacional, que inicializa em uma sessão gráfica utilizável.
Meu único problema é que, no momento grub-install
em que é executado (manualmente por um usuário ou, principalmente, automaticamente ao apt
instalar atualizações para o GRUB), o binário EFI manual para GRUB que construí e que oferece suporte a essa configuração é substituído por um binário EFI que não não suporta esta configuração (especificamente, conforme mencionado no último artigo do Arch Wiki vinculado acima, ele não possui o luks2
módulo). Embora eu possa (e tenha) um script que reconstrói e instala o binário GRUB correto, gostaria de grub-install
criar esse binário corretamente na primeira vez. Existe algum tipo de gancho que posso usar para controlar o binário EFI salvo no ESP?
Com
dpkg-divert
, você pode dizer ao gerenciamento de pacotes para deslocar o pacotegrub-install
para um local não padrão:Isso move
grub-install
para/usr/sbin/grub-install.divert
, e sempre que o GRUB for atualizado pelo gerenciamento de pacotes, o arquivo atualizado será colocado no local alterado. Isso permitiria que você colocasse um script wrapper em/usr/sbin/grub-install
.Supondo que você só precise invocar
grub-install
com uma--modules=
opção personalizada, o script wrapper pode ser algo assim:Você também pode enviar um relatório de bug de prioridade de "lista de desejos" para sugerir a adição de uma configuração de pacote que permita injetar opções personalizadas (ou o que sua situação exigir) para o automatizado que acontecerá com as atualizações de pacote
grub-install
.Se isso for considerado muito complexo, uma alternativa pode ser uma opção de configuração de pacote para desabilitar a execução automática de
grub-install
atualizações de pacote. Já existem opções debconfgrub2/force_efi_extra_removable
(default=false) egrub2/update_nvram
(default=true) que modificam o comportamento degrub-install
s automáticos, então há um precedente.