Где должен размещаться grub при luks шифровании?

Question

[kain45]

Зашифровал диск luks`ом, внутрь шифрованного контейнера установил lvm, внутрь lvm - ubuntu server. /boot вынес на флешку, но почему-то не грузится. Не пойму grub тоже надо на флешку пихать или можно и на шифрованный диск, а на флешку только /boot?

Answer 1

[Назар Мокринский]

Да, grub должен быть на на флэшке с модулями, которые смогут расшифровать luks и увидеть что там внутри, иначе как вы откроете контейнер? К тому же, grub и так должен быть внутри /boot, разве нет?

На самом деле /boot выносить не обязательно, достаточно иметь на флэшке grub с модулями и минимальный конфиг, после чего передать управление grub, который находится внутри luks контейнера. С UEFI у вас /boot/efi и так должен быть отдельно, вот его и выносите на флэшку. Развернутый ответ я писал здесь: Как зашифровать диск с установленной Ubuntu 16.04?

Comments

[kain45]

Назар Мокринский а если без efi, то что в этой инструкции меняется?

[Назар Мокринский]

kain45: Флэшка будет не gpt, а mbr, ну и сам grub будет не в файловой системе, а в загрузочной записи, или как оно там называется, флэшки. С момента загрузки конфига, который внутри luks раздела (configfile $prefix/grub.cfg) всё будет аналогично.

[kain45]

Назар Мокринский:
вы пишете, что boot выносить не обязательно, правильно ли я понимаю порядок действий:
1. Создаем криптоконтейнер
2. Туда ставим lvm
3. В lvm - фс
и вот тут вопрос:
В фс устанавливаем ubuntu с указанием установки grub на флешку
Или
В фс устанавливаем ubuntu с указанием установки grub на флешку и boot на флешке

дальнейшее конфигурирование буду делать с livecd

[Назар Мокринский]

kain45: Смотрите, если вы вынесете весь /boot на флэшку, то он не будет зашифрован, следовательно, ранний этап загрузки ОС будет происходить с незашифрованных данных. Поэтому я бы не выносил boot, а вместо этого ставил всё внутрь LVM, а флэшку уже подготовил бы позже. Всё что флэшке нужно сделать это:
1) Открыть luks
2) Загрузить конфиг /boot/grub/grub.cfg (который внутри LVM раздела) либо передать управление grub, который в LVM разделе (здесь могу ошибаться, ибо работаю с BTRFS как более удобным для меня инструментом и конкретно этот сетап не делал)

В любом случае пробуйте сначала с виртуальной машиной, а когда всё получится воспроизводите с реальной.

P.S. У вас машина не поддерживает UEFI режим? UEFI+BTRFS нереально упрощают жизнь.

[Назар Мокринский]

kain45: Если дружите с английским то огромное количество информации (хоть и частично специфичной для Arch) есть здесь: https://wiki.archlinux.org/index.php/Dm-crypt Очень рекомендую походить по ссылочкам и почитать, там описаны разные конфигурации, как оно всё работает, плюсы и минусы, соображения по безопасности и так далее.

[kain45]

Назар Мокринский:
понял, спасибо, буду пробовать!
не хочу использовать uefi для совместимости со старыми компьютерами в случае переноса жесткого диска