efi, btrfs на luks2 с encrypted boot partition

0

1

Есть ли в вменяемый гайд как можно сделать следующую конфигурацию:

раздел /efi или /boot/efi с fat32 для минимально необходимого набора файлов загрузчика

раздел luks2 на котором будет соответственно btrfs с сабволумами - как вариант без отдельного /boot (т.е. в составе корневого) или как отдельный сабволум

согласно arhwiki такое можно сделать c grub2 в качестве загрузчика но только для luks первой версии, со второй он не совместим.

во всех остальных гайдах вообще /boot в качестве отдельного раздела вне luks т.е. не шифрован.

Вроде бы как желаемый мной эффект можно получить на systemd-boot но подробного описания я не нашёл

Ссылка

←	Flatpak программы долго запускаются. Как фиксить?

Прога ls и сортировка файлов по имени

→

encrypted boot partition

Вроде бы как желаемый мной эффект можно получить на systemd-boot

Нельзя.

~~sudopacman~~ ★★★★★
(25.04.22 15:22:54 MSK)

Ссылка

Можно, на не зашифрованном efi разделе будет лежать efi файл Grub, остальная часть загрузчика может быть размещена на зашифрованном boot. В luks можно использовать 2 версию, но только pbdkf2, вариант argoni пока не поддерживается.

mxfm ★★
(25.04.22 18:50:45 MSK)
Последнее исправление: mxfm 25.04.22 18:51:13 MSK (всего исправлений: 1)

У меня так сделано. Не уверен насчет гайда, установка обычная, только раздел efi монтируется в /efi и хук pacmanа пересобирает туда ядро после апдейтов для efistub. grub не использую, лишняя сущность. можно дополнительно подписать для secure boot

/dev/sdb1     2048   1050623   1048576   512M EFI
/dev/sdb2  1050624 468860927 467810304 223,1G Файловая система Linux

[Trigger]
Type = Package
Operation = Upgrade
Operation = Install
Target = linux*
Target = amd-ucode

[Action]
Description = Updating EFI kernel images
When = PostTransaction
Exec = /bin/bash /usr/local/bin/build_kernel.sh

#!/bin/bash

TARGET=/efi
BOOTDIR=/boot
UCODE=$BOOTDIR/amd-ucode.img
EFISTUB=/usr/lib/systemd/boot/efi/linuxx64.efi.stub

echo "Updating EFI kernels..."

for k in $BOOTDIR/vmlinuz*; do
        NAME=$(basename $k|sed 's/vmlinuz-//')
        echo "  Building $NAME"
        INITRD="$BOOTDIR/initramfs-$NAME.img"

        if [ -f "$UCODE" ]; then
                cat "$UCODE" "$INITRD" > /tmp/initrd.bin
                INITRDFILE=/tmp/initrd.bin
        else
                # Do not fail on AMD systems
                echo "    Intel microcode not found. Skipping."
                INITRDFILE="$INITRD"
        fi

        # Check for custom command line for the kernel.
        CMDLINE="$BOOTDIR/cmdline-$NAME.txt"
        if [ -f "$CMDLINE" ]; then
                echo "    Using custom command line $CMDLINE"
        else
                CMDLINE="$BOOTDIR/cmdline.txt"
                if [ ! -f "$CMDLINE" ]; then
                        echo "CMDLINE missing. Extracting from running kernel..."
                        cat /proc/cmdline |sed 's/BOOT_IMAGE=[^ ]* \?//' > "$CMDLINE"
                fi
        fi

        objcopy \
            --add-section .osrel="/usr/lib/os-release" --change-section-vma .osrel=0x20000 \
            --add-section .cmdline="$CMDLINE" --change-section-vma .cmdline=0x30000 \
            --add-section .linux="$k" --change-section-vma .linux=0x40000 \
            --add-section .initrd="$INITRDFILE" --change-section-vma .initrd=0x3000000 \
            "$EFISTUB" "$TARGET/$NAME.efi"
done

caro
(25.04.22 19:12:21 MSK)
Последнее исправление: caro 25.04.22 19:16:32 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от mxfm 25.04.22 18:50:45 MSK

что-то не работает, ошибки no such device, unknown filesystem…

tm4ig ★
(25.04.22 19:55:32 MSK) автор топика
Последнее исправление: tm4ig 25.04.22 19:56:32 MSK (всего исправлений: 1)

mkinitcpio.conf

BINARIES=("/usr/bin/btrfs")
HOOKS=(base systemd autodetect modconf block sd-encrypt filesystems keyboard fsck)

/boot/cmdline.txt

rd.luks.name=sdfsdf4d-sdfsd-sdfs-9d06-1234539ad16f=crypt root=/dev/mapper/crypt rootflags=subvol=@ rw quiet

caro
(25.04.22 20:06:48 MSK)

Ответ на: комментарий от caro 25.04.22 20:06:48 MSK

что такое

rd.luks.name=sdfsdf4d-sdfsd-sdfs-9d06-1234539ad16f=crypt

чем оно отличается от

cryptdevice=/dev/sda2:cryptfs

tm4ig ★
(25.04.22 20:12:37 MSK) автор топика

Ответ на: комментарий от tm4ig 25.04.22 20:12:37 MSK

uuid раздела luks. ничем, мне так удобней

caro
(25.04.22 20:15:49 MSK)

Ответ на: комментарий от tm4ig 25.04.22 19:55:32 MSK

Нужно знать структуру диска, параметры luks и как ставится Grub.

mxfm ★★
(25.04.22 20:16:27 MSK)

Ссылка

Ответ на: комментарий от caro 25.04.22 20:15:49 MSK

про uuid и раздел понятно, я спрашивал про директивы rd.luks.name и cryptdevice

tm4ig ★
(25.04.22 20:16:43 MSK) автор топика
Последнее исправление: tm4ig 25.04.22 20:16:56 MSK (всего исправлений: 1)

Ответ на: комментарий от tm4ig 25.04.22 20:16:43 MSK

rd.luks у меня работает, твой вариант не проверял

caro
(25.04.22 20:18:35 MSK)

Ответ на: комментарий от tm4ig 25.04.22 20:12:37 MSK

Первое - uuid luks контейнера. Второе - путь к разделу с ним с указанием названия виртуального раздела после его расшифровки. Необходимые параметры ядра зависят от используемого initramfs.

mxfm ★★
(25.04.22 20:18:45 MSK)