Estou tentando configurar a criptografia de disco completo em um sistema KDE Neon (obviamente, seguindo os guias do Arch Wiki sobre o assunto ). Algumas informações relevantes sobre a configuração:
- O sistema tem dois volumes de nível superior:
- A partição do sistema EFI, que é tão normal quanto um ESP pode ser
- Um único volume LUKS2 com LVM aninhado dentro dele que hospeda todo o sistema, incluindo arquivos
/boot
.
- O sistema está usando GRUB 2.06, que inclui suporte LUKS2 limitado. O volume LUKS2 está configurado para ser compatível com esta versão do GRUB.
- A inicialização segura está desativada no momento, embora possa ser ativada no futuro.
Seguindo os guias, tenho um sistema que funciona principalmente como pretendido: o GRUB solicita a senha da unidade e, se a senha correta for inserida, finaliza sua sequência de inicialização e carrega o sistema operacional, que inicializa em uma sessão gráfica utilizável.
Meu único problema é que, no momento grub-install
em que é executado (manualmente por um usuário ou, principalmente, automaticamente ao apt
instalar atualizações para o GRUB), o binário EFI manual para GRUB que construí e que oferece suporte a essa configuração é substituído por um binário EFI que não não suporta esta configuração (especificamente, conforme mencionado no último artigo do Arch Wiki vinculado acima, ele não possui o luks2
módulo). Embora eu possa (e tenha) um script que reconstrói e instala o binário GRUB correto, gostaria de grub-install
criar esse binário corretamente na primeira vez. Existe algum tipo de gancho que posso usar para controlar o binário EFI salvo no ESP?