Instalando o Debian com a raiz criptografada: o instalador não vê a partição EFI / boot

Question

Instalando o Debian com a raiz criptografada: o instalador não vê a partição EFI / boot

#1 resposta do (3 votos)

5

Eu estou tentando fazer o que eu acho que é uma configuração bastante padrão da partição / criptografada e /boot não criptografada usando o instalador do Debian (para o Stretch-rc1). Eu criei /boot selecionando a opção EFI System Partition , pois este é um sistema UEFI. Eu então criei um volume LUKS criptografado e coloquei o sistema de arquivos raiz lá. Embora tudo isso tenha sido feito com o instalador, o GPT e as partições não formatadas foram criados primeiro com o fdisk.

Quando tento terminar de gravar as alterações no disco, recebo um erro:

Encryption configuration failure

You have selected the root file system to be stored on an encrypted partition. This feature requires a separate /boot partition on which the kernel and initrd can be stored. You should go back and setup a /boot partition.

Estou confuso porque fiz isso antes sem a criptografia e tudo funcionou bem. Observar a partição ESP /boot mostra que o sinalizador de inicialização está ativado. Talvez eu tenha um mal-entendido fundamental sobre o que o Debian quer fazer com o ESP? Congratulo-me com todas as sugestões para que isso funcione.

luks uefi debian debian-installer disk-encryption

por ramblenode 27.01.2017 / 06:52

1 resposta

Tags luks uefi debian debian-installer disk-encryption

Mudar para uma segunda sessão X mata o primeiro Quais distribuições do Linux têm a maior base de instalação a partir de meados de 2010? [fechadas]

score 3 · Accepted Answer

Acabei consertando isso.

Basicamente, eu precisava de três partições em vez de duas:

ESP ( FAT , não encriptado)
/boot ( ext , não encriptado)
/ (qualquer sistema de arquivos válido do Linux, criptografado)

A partição do sistema EFI não criptografada ( ESP ) somente contém o gerenciador de inicialização (por exemplo, GRUB), não o kernel ou seu initrd / initramfs (imagem ramdisk inicial contendo o kernel). O bootloader por si só não pode descriptografar e acessar o sistema de arquivos raiz para chegar ao initrd. Portanto, o initrd precisa viver em sua própria partição /boot não criptografada, formatada como um sistema de arquivos ext (por exemplo, ext4 ), que pode ser descompactada pelo gerenciador de inicialização. Uma vez que o kernel tenha sido descompactado, ele será capaz de assumir o processo de inicialização restante para descriptografar e montar o sistema de arquivos raiz.

Eu encontrei esta resposta útil.