Estou tentando obter uma partição de inicialização totalmente criptografada. Eu estou rodando o Funtoo, mas principalmente usando o wiki do Arch para ajuda.
Então eu decidi fazer algo louco / controverso: não separar as partições boot / root. Minha configuração é assim:
/dev/nvme0n1p1 - EFI parition
/dev/nvme0n1p2 - Swap
/dev/nvme0n1p3 - Encrypted /
No meu /etc/default/grub , tenho o seguinte:
GRUB_ENABLE_CRYPTODISK=y
GRUB_PRELOAD_MODULES="luks cryptodisk"
GRUB_CMDLINE_LINUX="luks enc_root=/dev/nvme0n1p3 root=/dev/mapper/enc_root"
Todos os argumentos do linux são para better-initramfs . Eu incluo uma chave no sistema de arquivos dentro do ramdisk para que ele não solicite minha senha duas vezes.
Eu instalei o Grub usando o seguinte:
grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id="Funtoo Linux [GRUB]" --recheck --boot-directory=/boot/efi/EFI
Então, no estado atual, recebo um prompt de resgate do Grub. Não é possível encontrar seu arquivo de configuração (ele está no disco de inicialização / raiz criptografado). Então eu corro os seguintes comandos:
insmod luks
cryptomount (hd1,gpt3)
set root=(crypto0)
configfile (crypto)/boot/grub/grub.cfg
.. e eu tenho um sistema de inicialização / trabalho totalmente! :)
Então, minha pergunta é: como configurar o carregador do Grub EFI para tentar carregar automaticamente a partição criptografada em (crypt0) e ler seu arquivo de configuração?
Observação: o Grub identifica o disco como (hd1,gpt3) , provavelmente porque o meu pendrive ainda está conectado. Isso deve mudar para (hd0,gpt3) se eu desconectar e reiniciar.