Tôi nghĩ rằng phiên bản hiện tại của GRUB2 không có hỗ trợ tải và giải mã các phân vùng LUKS (nó chứa một số mật mã nhưng tôi nghĩ chúng chỉ được sử dụng để hỗ trợ mật khẩu). Tôi không thể kiểm tra nhánh phát triển thử nghiệm, nhưng có một số gợi ý trong trang GRUB rằng một số công việc được lên kế hoạch để thực hiện những gì bạn muốn làm.
Cập nhật (2015) : phiên bản mới nhất của GRUB2 (2.00) đã bao gồm mã để truy cập các phân vùng được mã hóa LUKS và GELI. (Liên kết xercestch.com mà OP cung cấp đề cập đến các bản vá đầu tiên cho điều đó, nhưng chúng hiện được tích hợp trong bản phát hành mới nhất).
Tuy nhiên, nếu bạn đang cố mã hóa toàn bộ đĩa vì lý do bảo mật, xin lưu ý rằng trình tải khởi động không được mã hóa (như TrueCrypt, BitLocker hoặc GRUB đã sửa đổi) không cung cấp bảo vệ nhiều hơn /boot
phân vùng không được mã hóa (như JV đã lưu ý trong nhận xét ở trên) . Bất kỳ ai có quyền truy cập vật lý vào máy tính đều có thể dễ dàng thay thế nó bằng phiên bản tùy chỉnh. Điều đó thậm chí còn được đề cập trong bài viết tại xercestech.com mà bạn đã liên kết:
Rõ ràng, điều này không theo bất kỳ cách nào làm cho hệ thống của bạn ít bị tấn công ngoại tuyến hơn, nếu kẻ tấn công thay thế bộ tải khởi động của bạn bằng chính chúng hoặc chuyển hướng quá trình khởi động để khởi động mã của riêng chúng, hệ thống của bạn vẫn có thể bị xâm phạm.
Lưu ý rằng tất cả các sản phẩm dựa trên phần mềm để mã hóa toàn bộ đĩa đều có điểm yếu này, bất kể chúng sử dụng bộ tải khởi động không được mã hóa hay phân vùng boot / preboot không được mã hóa. Ngay cả các sản phẩm có hỗ trợ chip TPM (Mô-đun nền tảng đáng tin cậy), như BitLocker, có thể được root mà không cần sửa đổi phần cứng.
Một cách tiếp cận tốt hơn sẽ là:
- giải mã ở cấp BIOS (trong bo mạch chủ hoặc bộ điều hợp đĩa hoặc phần cứng bên ngoài [thẻ thông minh], có hoặc không có chip TPM), hoặc
- mang mã PBA (ủy quyền preboot) (
/boot
phân vùng trong trường hợp này) trong một thiết bị di động (như thẻ thông minh hoặc thẻ nhớ USB).
Để thực hiện theo cách thứ hai, bạn có thể kiểm tra dự án Mã hóa toàn bộ đĩa cứng (LFDE) của Linux tại: http://lfde.org/ cung cấp tập lệnh sau khi cài đặt để di chuyển /boot
phân vùng sang ổ USB ngoài, mã hóa khóa bằng GPG và lưu trữ nó trong USB. Theo cách đó, phần yếu hơn của đường dẫn khởi động ( /boot
phân vùng không được mã hóa ) luôn ở bên bạn (bạn sẽ là người duy nhất có quyền truy cập vật lý vào mã giải mã VÀ khóa). ( Lưu ý : trang web này đã bị mất và blog của tác giả cũng biến mất, tuy nhiên bạn có thể tìm thấy các tệp cũ tại https://github.com/mv-code/lfde chỉ lưu ý việc phát triển cuối cùng đã được thực hiện 6 năm trước). Để thay thế nhẹ hơn, bạn có thể cài đặt phân vùng khởi động không được mã hóa trong thanh USB trong khi cài đặt HĐH.
Trân trọng, MV