LINUX.ORG.RU

Несколько вопросов по настройки Grub2

 , ,


0

1

Приветствую всех. Сразу скажу, пользователь линукса я не опытный, посему, прошу, более-менее разжевать.

Имеется Xubuntu 18.04, полнодисковое шифрование с помощью LUKS+LVM, бут так же зашифрован, прописаны к нему конфиги в настройках граба (делал по мануалу).

Собственно вопросы связаны с этим: 1) Можно ли изменить окно при загрузки компьютера, где просят ввести пароль от бута (там где написано, чтобы ввели пароль и ниже строка с UUID и какие то еще данные) на кастомное, например написать вместо этого свое слово? Как вариант если нельзя свое - просто черным оставить, без надписей. 2) При обновление системы, можно ли все потерять? Т.е. например обновится граб, а с ним и мои конфиги с параметрами для запуска зашифрованного бута. Если да - то как этого избежать? Сюда же вопрос: Как все же надежнее, сделать как я, или хранить бут на флешке? В плане даже сохранности данных, случае варианта из пункта 2, если он возможен.

3) Ну и чтоб не плодить темы - Можно ли добавить Nuke LUKS на текущую конфигурацию, ничего не поломав? Т.е. имеем просто зашифрованный диск с помощью LUKS без всяких «примочек», кроме бута, и просто с помощью определенных манипуляций, добавить функцию Nuke (стереть заголовки определенным паролем, дабы «убить» инфу).

бут так же зашифрован

Ну это совсем упоризм, ящитаю. Таская свой бут на флэшке, стоит пароль на UEFI, больше в принципе ничего хитрого не нужно.

1) Можно ли изменить окно при загрузки компьютера, где просят ввести пароль от бута (там где написано, чтобы ввели пароль и ниже строка с UUID и какие то еще данные) на кастомное, например написать вместо этого свое слово?

Для этого тебе придётся расковырять initramfs. Придут более компетентные в вопросе LUKS люди — расскажут подробнее.

2) При обновление системы, можно ли все потерять? Т.е. например обновится граб, а с ним и мои конфиги с параметрами для запуска зашифрованного бута.

Если у тебя всё прописано в генераторы (/etc/grub.d/*, /etc/defaults/grub), то нет, если писал конфиг вручную — да.

Если да - то как этого избежать?

Переписать генераторы и опции по умолчанию. В нормальных дистрибутивах изменённые конфиги, поставляемые с пакетом (твой /boot/grub/grub.cfg таковым не является) не заменяются.

Как все же надежнее, сделать как я, или хранить бут на флешке?

При желании можно даже совместить, но флэшки более чем достаточно, ящитаю.

плане даже сохранности данных

Флэшкам доверять нельзя, они дохнут быстро, потому у тебя всегда должен быть (доступный) бэкап.

r3lgar ★★★★★ ()
Ответ на: комментарий от r3lgar

Ну это совсем упоризм, ящитаю. Таская свой бут на флэшке, стоит пароль на UEFI, больше в принципе ничего хитрого не нужно.

Было 2 варианта, выбрал зашифровать, чтобы все было в одном и не занимало лишний порт.

Если у тебя всё прописано в генераторы (/etc/grub.d/*, /etc/defaults/grub), то нет, если писал конфиг вручную — да.

Прописано в /etc/default/grub + /etc/crypttab

Не будет заменяться? Делал все это еще на этапе установки, прописывал, обновлял граб командами и т.п. Можно на всякий случай перестраховаться и какие то файлы засунуть на флешку? Т.е. если все таки что-то случится с бутом моим зашифрованным, я мог бы это пофиксить.

Alpiden ()
Ответ на: комментарий от Alpiden

чтобы все было в одном и не занимало лишний порт

Загрузился, и вынимай флэшку. Она нужна будет только при обновлении.

Не будет заменяться?

Нет.

Можно на всякий случай перестраховаться и какие то файлы засунуть на флешку?

В целях безопасности я бы не стал выносить на флэшку, которую можешь потерять или у тебя её могут стащить.

Т.е. если все таки что-то случится с бутом моим зашифрованным, я мог бы это пофиксить.

Вынести на другой (нешифрованный) диск или на флэшку, которую не выносишь из дома.

r3lgar ★★★★★ ()
Ответ на: комментарий от anonymous

выкинуть граб и грузить из уефи

Тоже вариант. efibootmgr умеет скармливать опции ядру, так что путь к initrd можно прописать там, но это не прокатит, если выносить ядро на флэшку, так как эта информация хранится до вынимания девайса (и, возможно, будет проигнорирована для съёмного девайса).

r3lgar ★★★★★ ()

Зачем шифровать /boot или его выносит на usb при использовании полнодискового шифрования?

Захочешь по ssh разблокировать машинку - фиг, захочешь использовать luks2 тоже фиг, так как Grub2 пока его не понимает; захочешь использовать lvm для двух и более дисков с /root, swap - grub будет спрашивать пароли для всех luks, внутри которых размещается твой lvm с вышеперечисленными разделами; безопасности это не добавляет, а лишней возни - да.

anonymous ()
Ответ на: комментарий от r3lgar

если флешка в уефи стоит первой, она будет загружаться первой пока кто-нибудь не сломает тебе очерёдность загрузки. один раз у меня полностью и целиком обнулилось загрузочное меню и ни одна ос не загружалась, но вручную выбрать загрузку с уефи флешки получилось (с ядром пятилетней давности, у линукса возникли проблемы, среди прочего с некоторыми разделами на диске потому что ext4 на них новее), всё исправить без интернета не варик но elinks выручил

anonymous ()
Ответ на: комментарий от anonymous

если флешка в уефи стоит первой, она будет загружаться первой

Вот только cmdline сохраняется в UEFI, закрепляясь за boot entry, и при вынимании девайса оно удаляется вместе с boot entry. Так что письку волосатую ты получишь, а не загрузку с encrypted root без grub — в UEFI boot menu нельзя изменить атрибуты boot entry. Конечно, можно из UEFI command line, только если он есть, но каждый раз вбивать путь до ядра плюс путь до initrd плюс дополнительные атрибуты (такие как init, в случае systemd) задолбаешься. Но защита от дурака хорошая.

r3lgar ★★★★★ ()