Добрый день.
До недавнего времени всегда без проблем делал полнодисковое шифрование на компах с Debian. По стандартной схеме:
- ставим систему на флешку с разделами / и swap, /boot в раздел другой флешки, которая затем будет загрузочной;
- после установки грузимся с этих двух флешек;
- шифруем диск, раскатываем на нем lvm (lv-root, lv-swap), header диска сбрасываем в папку на загрузочную флешку, туда же ключи, место под header’ом затираем;
- rsynk’ом синхронизируем систему с первой флешки на зашифрованный диск;
- в crypttab на диске прописываем подключать lv-root и где брать header и ключи; во fstab - вместо UUID корня и swap - lv-root, lv-swap;
- update-initramfs, в grub - новый путь к корню (lv-root вместо UUID).
Перезагружаемся и все работает.
Уже неделю бьюсь над реализацией подобной схемы на компах с UEFI и NVME. Другие купить уже просто не продают, буржуи.
Ставлю debian buster, пробовал также последнюю ubuntu.
На загрузочной флешке создал дополнительно этот долбаный EFI-раздел. Вроде система встала.
При update-initframs варнинги, что он шифрованных разделов в системе нет, удалите мол cryptsetup-initramfs за ненадобностью.
После перезагрузки - Busybox и (initramfs).
Уже и chroot’ился в диск после синхронизации, делая update-initramfs из-под chroot.
Накопал, что в /etc/cryptsetup-initramfs/conf-hook теперь не надо делать CRYPTSETUP=y, а в /etc/initramfs-tools/conf.d/cryptsetup надо добавить:
CRYPTSETUP=yes
export CRYPTSETUP
а в /etc/default/grub:
GRUB_ENABLE_CRYPTODISK=y
Все - как мертвому припарка.
Получал странные результаты.
То при загрузке груб говорит, что не видит хидера для открытия блочного устройства (когда изначальная флешка вытащена и грузиться надо с диска).
То вроде все прописано как надо, но при загрузке (когда вторая флешка вставлена), он потупит и грузится, монтируя корнем ее. Где он ее берет, если в crypttab и во fstab прописан диск?
Какой-то полтергейст. Но четкое ощучение, что во всем виноват EFI и NVME.
Я что-то пропустил в шифровании? Информации по особенностям реализации вышеизложенной схемы на новых компах не нашел. Очень прошу ткнуть пальцем или примерно объяснить в чем заковыка.