如何使用全盘加密制作 BIOS/UEFI 闪存驱动器

Question

Ubuntu 18.04 全盘加密现在适用于完整安装的闪存驱动器。

已取消单独加密主目录/主分区的功能。

如何使用脚本为家庭和系统制作具有不同密码的加密 BIOS/UEFI 闪存驱动器？

Answer 1

具有全盘加密的 BIOS/UEFI 闪存驱动器 (18.04)

我一直在玩 Paddy Landau 的手动全系统加密：https : //ubuntuforums.org/showthread.php? t =2399092

开箱即用的脚本仅适用于 UEFI。

有了mkusb基础，几乎任何 BIOS/UEFI 都是可能的。

• 从默认的 mkusb Live 安装到闪存驱动器（4GB 或更大）开始。

• 接下来使用默认值（16GB 或更大）创建一个 mkusb 持久安装到闪存驱动器。

• 一旦 mkusb 完成持久安装，打开 gparted 并删除 sdx4 和 sdx5。

• 请参阅https://help.ubuntu.com/community/ManualFullSystemEncryption。

• 遵循条款 6.4-详细流程：https : //help.ubuntu.com/community/ManualFullSystemEncryption/DetailedProcess。

• 完成项目 4.2.1 创建新分区 sdx4-system、sdx5-swap* 和 sdx6-data*。

• 在 UEFI 模式下启动 Live USB。

• 完成第 4.2.2 项 - 准备安装程序，并启动安装程序。

• 按项目 4.2.3-Install Ubuntu 运行安装程序。

此时闪存驱动器将仅是 UEFI。

• 现在挂载 ESP 启动分区并复制 ESP/EFI/ubuntu/grub/grub.cfg 并覆盖 ESP/boot/grub/grub.cfg。

您的可启动闪存驱动器现在将具有加密的系统文件、主文件和交换文件，并将启动 BIOS 或 UEFI。

笔记：

• *单独的 home、swap 和 NTFS分区是可选的。
• 由于担心磨损，许多人建议不要将交换与可启动的 USB 或 SSD 一起使用。
• 交换分区（如果使用）可以使用 ecryptfs-utils 进行加密。
• NTFS 分区（如果使用）可以使用 VeraCrypt 进行加密，以便它可以在 Linux 和 Windows 中使用。
• 如果在第二次加密安装时重用安装程序驱动器出现问题，请确认/mnt/root/已删除，并且 fstab 中已使用 sdx3 的正确 UUID。
• 加密驱动器上的 GParted 可能不起作用。

Answer 2

可启动 BIOS 和 UEFI 模式的加密 20.04 完整安装 USB

Ubuntu 20.04 让全盘加密变得简单。

• 拔掉硬盘

• 在 BIOS/Legacy 模式下启动 Live USB，插入目标驱动器。

• 开始安装 Ubuntu 20.04 LTS。

• 选择语言、键盘、无线、正常安装、安装第三方...。

• 在安装类型标签“擦除磁盘并安装 Ubuntu”，然后选择“高级功能”。单击“在新的 Ubuntu 安装中使用 LVM”，然后单击“加密新的 Ubuntu 安装以确保安全”。

• 选择一个安全密钥。如果愿意的话，覆盖空白磁盘空间。

• 选择国家/地区，然后选择用户名和密码。

• 安装完成后，驱动器将以 BIOS 模式加密启动。

• 打开20.04 ISO文件并将boot和EFI文件夹复制到分区1。

• 将 grub.cfg 从分区 5 /boot/grub/ 复制到分区 1 /boot/grub/ 并覆盖现有的 grub.cfg。

• 重新安装 GRUB：

  sudo mount /dev/sdx1 /mnt
sudo grub-install --boot-directory=/mnt/boot /dev/sdx

加密的完整安装 USB 现在应该可以在 BIOS 和 UEFI 模式下启动。

重新安装grub后sdx1/boot/grub/文件夹的内容，sdx1/EFI/boot文件夹将只包含三个文件