проблемы с грабом(не могу запуститься с зашифрованного раздела)

на ls он /dev/mapper не выдает

GRUB — не Linux, там этого нет. Вообще, я бы посоветовал не трахать себе мозг и не шифровать /boot.

Если всё же очень хочется, то делай chroot, монтируй всё, включая /boot на свои места, и смотри конфиг, который генерирует GRUB. Если всё выглядит правильно, распаковывай initrd и смотри, всё ли там есть: программы, конфиги.

GRUB не умеет в это, сделай себе отдельный /boot просто.

GRUB умеет, это ТС не совсем понимает, что делает. Но в целом согласен, что шифровать /boot ни к чему.

GRUB умеет, но недавно, не очень распространено.
Может проще сделать luks файл зашифрованый ext4 и все кто найдут украдут машину ничего подозрительного не найдут нормальный ноут секретных разделов нет, зато в хомяк расшифровываешь монтруешь файлик вот и пользователь под которым можно не афишируя работать.
Я так под обоими работаю под нормальным и под

ssh -X secret@localhost firefox
ssh -X secret@localhost Telegram

не хотелось бы в общем афишировать даже программы с которыми работаю, можешь пояснить о чем говорил в начале?

возможно туплю, но каким образом предлагаешь реализовать?

но недавно

Всего-то больше десяти лет как.

Стандартным, очевидно. Если тебе это всё непонятно, начни с дистрибутива, который сам всё сделает. Там со временем разберёшься, сможешь уже вручную сделать такую конфигурацию.

не совсем это да, пока что разбираюсь. Посоветуешь как можно зашифровать тогда в общем систему не трогая boot? или как реализовать с помощью GRUBa?

дак в от того же пользователя tox во flatpak поставь дальше хомяка не уйдёт

https://wiki.archlinux.org/title/Data-at-rest_encryption Читай до просветления.

Сделай незашифрованный раздел с ext2 размером в 0,5-1ГБ и монтируй его в /boot.

Вообще, у тебя Legacy или UEFI?

legacy

Готов систему переустановить? Можно и без переустановки обойтись, просто так проще.

так и жил, только перешел туда где этого нету) есть руководство которое не работает, хотя подозреваю все таки я где то косячу

да, конечно) я уже несколько раз переустанавливал

При разбивке диска тогда создай раздел с ext2 размером 512 МБ, чего должно хватить, точкой монтирования назначь /boot.

P. S. Этот раздел не шифровать.

окей, а граб как настроить, совет подкинешь?

Ничего настраивать не надо. Всё и так заработает. У тебя вообще какой дистрибутив?

void

Ок.

не заработало, пошел проверять как все установилось

система вроде жива, пошел тыкать граб

Загрузись с LiveCD и покажи вывод fdisk -l (вводить от рута).

Disk /dev/sda: 232.89 GiB, 250059350016 bytes, 488397168 sectors Disk model: Samsung SSD 870 Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: gpt Disk identifier: 3D2036EB-9E6F-40E5-8581-F9E476C3F629

Device Start End Sectors Size Type /dev/sda1 2048 2099199 2097152 1G Linux filesystem /dev/sda2 2099200 253757439 251658240 120G Linux filesystem /dev/sda3 253757440 358615039 104857600 50G Linux filesystem

А какие у тебя ошибки выдает? Покажи вывод mount /dev/sda1 /mnt && ls -la /mnt && umount /dev/sda1 (запускать от рута, конечно).

total 100560 drwxr-xr-x 2 root root 4096 Mar 13 22:02 . drwxr-xr-x 17 root root 4096 Sep 4 21:49 .. -rw-r–r– 1 root root 267706 Mar 8 04:01 config-6.6.21_1 -rw——- 1 root root 89440084 Sep 4 22:01 initramfs-6.6.21_1.img -rw-r–r– 1 root root 13144576 Mar 8 04:01 vmlinuz-6.6.21_1

Я только про UEFI знаю. Можно зашифровать все, кроме раздела ESP, где будет лежать только файл загрузчика.

Вот тебе grub с патчами grub-improved-luks2-git, вот тебе заметка по установке артикса с FDE, которую нужно адаптировать под твою систему.

Кстати, если есть железка, поддерживающая coreboot/libreboot, то груб можно собрать сразу с ним и прошить вместо родного биоса.

А ошибки какие при загрузке системы? И советую оборачивать вывод

так

https://ibb.co/Fx219LK

поздновато я пишу, ну да ладно.Скорее всего вопрос в том что том с самой системой не расшифровывается ибо пароль не запрашивает, с конфигом граба я ковырялся и запускал как с включенным режимом шифрования так и без, толку ноль. Попробовал настроить hook для ядра чтобы расшифровывать каталог, все также без результата. Пока запроса пароля не добился