Sim, eu sei que é uma resposta bem atrasada, mas antes tarde do que nunca ...
Eu não sei se o Debian tem as ferramentas para isso, mas usando o Arch Linux você pode crie um layout de disco assim:
- Partição EFI (montada
/boot/efi
) com bootloader grub EFI , partição de tipo EFI fat32 formatadaEF00
. Pode ser seu/dev/sda1
. Esta partição irá apenas conter o stub do grub, para pedir a senha para montar a sua partição de inicialização. - partição de inicialização (montada
/boot
) que é um dispositivo de criptografia luks. Após o crypto desbloquear esta partição, você pode formatá-la usando qualquer sistema de arquivos ao qual o grub seja compatível (ext4 por exemplo). Este será seu/dev/sda2
- Dispositivo de criptografia que armazenará todas as partições restantes como volumes lógicos. Dispositivo de criptografia, com LVM e seus volumes lógicos (3 camadas). Este será seu
/dev/sda3
.- Aqui, você pode criar quantos volumes lógicos desejar / precisar. A chave que desbloqueia essa partição será usada para acessar dados em todos os seus volumes lógicos.
Pegando emprestado do Arch Wiki, é assim que o layout do disco será:
+---------------+----------------+----------------+----------------+----------------+
|ESP partition: |Boot partition: |Volume 1: |Volume 2: |Volume 3: |
| | | | | |
|/boot/efi |/boot |root |swap |home |
| | | | | |
| | |/dev/store/root |/dev/store/swap |/dev/store/home |
|/dev/sdaX |/dev/sdaY +----------------+----------------+----------------+
|unencrypted |LUKS encrypted |/dev/sdaZ encrypted using LVM on LUKS |
+---------------+----------------+--------------------------------------------------+
Advertências :
- O Grub pedirá uma senha para desbloquear
/boot
, o disco de RAM inicial pedirá uma senha AGAIN (porque ele está com/boot
bloqueado) e provavelmente durante a montagem da sua partiçãoroot
isso acontecerá mais uma vez . O truque aqui é usar uma chave mestra dentro do seu/boot
( e talvez dentro de seu initrd com a opçãoFILES=
demkinitcpio
e adicione comluksAddKey
. Sua partição de boot é criptografada, então não é necessário preocupar-se porque a chave está dentro de uma partição criptografada.chmod 000 keyfile.bin
is seu amigo. - Adicione
encrypt lvm2
amkinitcpio
ganchos. - Se, por algum motivo, seu sistema não puder usar a chave, uma senha será solicitada novamente.
- Você ainda estará vulnerável a ataques Maid Maid que exploram Cold Boot falhas. O melhor que você pode fazer aqui é:
- Ativar inicialização segura.
- Assine seu Grub EFI.
- Revogue a CA da Microsoft no seu Motherbord (você sabe, não pode confiar em ninguém).
- Lembre-se de assinar seu programa efi sempre que você tiver uma atualização do pacote
grub-efi
.
Leitura adicional:
Após algumas pesquisas sobre a necessidade de manter a partição de boot fora do lvm (até onde eu sei, o grub-pc / bios tinha lvm
e luks
modules) eu encontrei este cara nos Fóruns do Arch confirmando que não há necessidade de manter /boot
em uma partição de criptografia de reserva.
Você pode instalar o grub no seu ESP
, e também dizer para ler os arquivos de configuração do como este :
# grub-install --target=x86_64-efi --efi-directory=esp --bootloader-id=grub --boot-directory=esp
depois disso, regenere conf:
# grub-mkconfig -o esp/grub/grub.cfg
E, parece que grub
é o único gerenciador de inicialização que tem suporte para inicializar o lvm + crypto sem uma partição / boot separada.