问如何用全磁盘加密技术制作BIOS/UEFI闪存驱动器

EN

全磁盘加密的

BIOS/UEFI闪存驱动器(18.04)

我一直在玩帕迪兰多的手册全系统加密：https://ubuntuforums.org/showthread.php?t=2399092

该脚本仅适用于UEFI。

使用mkusb基，几乎任何BIOS/UEFI都是可能的。

• 从默认的mkusb安装到闪存驱动器(4GB或更高)开始。
• 接下来，使用默认值(16 or或更高)创建mkusb持久安装到闪存驱动器。
• 当mkusb完成持久安装时，打开gparted并删除sdx4和sdx5。
• 请参阅https://help.ubuntu.com/community/ManualFullSystemEncryption。
• 遵循项目6.4-详细的过程：https://help.ubuntu.com/community/ManualFullSystemEncryption/DetailedProcess。
• 完成项目4.2.1创建新的分区sdx4-system、sdx5-swp*和sdx6 6-data*。
• 在UEFI模式下启动Live。
• 完成4.2.2项-准备安装程序，并启动安装程序。
• 按项4.2.3运行安装程序-安装Ubuntu。

在这一点上，闪存盘将是UEFI只。

• 现在挂载ESP引导分区并复制ESP/EFI/ubuntu/grub/grub.cfg，并覆盖ESP/ boot /grub/grub.cfg。

您的可引导闪存驱动器现在将有加密的系统，家庭和交换文件，并将启动BIOS或UEFI。

备注：

• *单独的主、交换和NTFS分区是可选的。
• 许多人建议不要使用可引导的USB或SSD的交换，因为害怕磨损。
• 如果使用交换分区，则可以使用ecryptfs utils加密。
• 如果使用NTFS分区，可以使用VeraCrypt对其进行加密，这样就可以在Linux和Windows中使用它。
• 如果在第二次加密安装时重用安装程序驱动器有问题，请确认/mnt/root/已被删除，并在fstab中使用了正确的sdx3 UUID。
• 加密驱动器上的GParted可能无法工作。

加密20.04完全安装USB引导BIOS和UEFI模式

Ubuntu20.04使全磁盘加密变得容易.

• 拔下硬盘
• 在BIOS/Legacy模式下引导Live，插入目标驱动器。
• 启动安装Ubuntu20.04LTS。
• 选择语言，键盘，无线，正常安装，安装第三方.。
• 在安装类型标签“擦除磁盘并安装Ubuntu”，然后选择“高级功能”。单击“在新的Ubuntu安装中使用LVM”，然后“为安全起见加密新的Ubuntu安装”。

• 选择一个安全密钥。如果倾斜，则覆盖空磁盘空间。
• 选择“国家”，然后选择用户名和密码。
• 安装完成后，驱动器将以BIOS模式启动加密。
• 打开20.04ISO文件并将引导和EFI文件夹复制到分区1。

• 将grub.cfg从分区5 /boot/grub/复制到分区1 /boot/grub/覆盖现有的grub.cfg。
• 重新安装GRUB：sudo mount /dev/sdx1 /mnt sudo grub-install --boot-directory=/mnt/boot /dev/sdx

加密的全安装USB现在应该在BIOS和UEFI模式下启动。

在重新安装grub后sdx1 1/boot/grub/文件夹的内容，sdx1 1/EFI/boot文件夹将只包含三个文件

加密20.04完全安装USB引导UEFI和BIOS (UEFI第一次)

Introduction

以下所述的过程可以通过两种方式完成：

1. 或者使用真正的计算机，在那里您可以删除内部驱动器或以某种方式禁用它们。这并不总是可能或方便的。
2. 或者使用像QEMU虚拟机这样的VM。如果您已经在Ubuntu桌面上安装了QEMU虚拟机，或者有一台运行Ubuntu的计算机能够运行QEMU虚拟机，那么这种方法可能比从计算机内部拔出硬盘更容易。

Prerequisites

1. 一台真正的计算机，至少有两个USB端口，所有内部驱动器断开或禁用UEFI模式下的引导。或以UEFI模式启动的虚拟机。
2. 一个空的USB驱动器足够大，足以完全安装Ubuntu和足够的空间来保存您的数据。
3. Ubuntu20.04Live安装USB，或存储在运行VM的计算机中的Ubuntu20.04ISO

从安装的

/DVD或ISO

启动

无论您使用的是真正的机器还是虚拟机，都要确保在UEFI模式下引导Ubuntu20.04Live安装、USB/DVD或ISO。你应该看到这样的东西：

如果您看到紫色页面，那么您将在BIOS/Legacy模式下启动。从上面的菜单中选择Ubuntu，然后尝试Ubuntu，如下所示：

再次，如果您看到一个不同的尝试Ubuntu而没有安装选项，那么您已经启动了BIOS模式。

这将允许您在安装之后进行我们需要的更改。您将看到熟悉的Ubuntu桌面和安装Ubuntu的图标。

选择语言，键盘，正常安装，安装第三方.。

在安装类型标签“擦除磁盘并安装Ubuntu”，然后选择“高级功能”。单击“在新的Ubuntu安装中使用LVM”，然后“为安全起见加密新的Ubuntu安装”。

选择一个安全密钥。如果倾斜，则覆盖空磁盘空间。

选择“国家”，然后选择用户名和密码。

安装完成后，选择“继续测试”对USB进行更改，以便它在BIOS和UEFI模式下启动。

在模式下，打开磁盘应用程序：

确保分区1和2不是mounted.Note设备名称。在我的例子中，分区1是/deb/vda1，分区2是/dev/vda2。你的可能不一样。

使用以下命令打开终端并挂载分区1和2：

sudo mkdir -p /mnt/efi
sudo mkdir -p /mnt/boot
sudo mount /dev/vda1 /mnt/efi
sudo mount /dev/vda2 /mnt/boot

将引导文件夹从/USB/DVD/ISO复制到分区1：

sudo cp -R /cdrom/boot /mnt/efi/

将grub.cfg从分区2复制到分区1：

sudo cp /mnt/boot/grub/grub.cfg /mnt/efi/boot/grub/

在Live中安装grub模块：

sudo apt install grub-efi-amd64-bin

这将临时安装下一步所需的模块。在分区1中以UEFI模式安装grub：

sudo grub-install --efi-directory=/mnt/efi --boot-directory=/mnt/efi/boot --target x86_64-efi --removable /dev/vda

在分区2中以BIOS模式安装grub

sudo grub-install --boot-directory=/mnt/boot --target=i386-pc --removable --force /dev/vda

关闭终端和任何其他应用程序，关闭计算机/ VM。Ubuntu在USB上的完全加密安装已经准备好了。它应该在UEFI和BIOS模式下启动。

希望这能有所帮助