%20%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%AB%E7%A7%BB%E8%A1%8C%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AF%E5%8F%AF%E8%83%BD%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
ノート PC を持っているので、フルディスク暗号化への移行がどの程度難しいか確認したいと思っています。クリーン インストールから移行したことがあり、HOWTO も書きましたが、残念ながらもうアクセスできません (企業 Wiki)。クリーン インストールから移行すると、おそらく非常に自動化されているため、移行がはるかに困難になるのではないかと思います。ガイドを探しましたが、すべて「重複」、「更新が必要」、「削除候補」などのマークが付いているため、どのガイドが最も適切かを判断するのが非常に困難です。
答え1
私はこのような移行を 1、2 回行いました。しかし、発生する問題を解決するには Google を利用できなければなりません。これは完全な回答ではなく、実行する必要がある手順の大まかな手順にすぎません。これらの手順は Live CD から実行する必要があり、LUKS と LVM の操作を伴うため、最新バージョンの KDE Partition Manager 3.0 を含む Live CD を入手して、LUKS と LVM の操作に使用することをお勧めします。
十分な空き容量(50%以上)がある場合は、
- 現在のパーティションのサイズを変更します。
- LUKS で暗号化された新しい LVM2 物理ボリューム (PV) を作成します。
- LVM PV を含む新しいボリューム グループを作成します。
- rootfs (およびおそらく swap とその他のすべてのパーティション) 用に新しい LVM 論理ボリュームを作成します。私自身はサブボリューム付きの btrfs を使用しているため、btrfs と swap しかありませんでした。
- データを暗号化されたパーティションに移動する
- 暗号化されていないパーティションを削除する
- LVMを無効にし、LUKSコンテナを無効にします
- LUKSコンテナをディスクの先頭に移動する(暗号化されていないデータの削除によって解放されたスペース)
- LUKS コンテナをもう一度開きます。
- LUKS コンテナをディスク全体を埋め尽くすまで拡張します。
- ルート ファイル システムを含む LVM LV を拡張します。
次に、/etc/fstab のエントリを更新し、/etc/crypttab を作成し、暗号化された rootfs に chroot し、initramfs と grub 構成を更新する必要があります。
これでも /boot は暗号化されません。/boot も暗号化できますが、これにはいくつかの追加手順が追加されるため、まず上記のすべてが機能することを確認してください。ブートを暗号化するには、/boot パーティション情報の内容を rootfs/boot/ に移動する必要があります。次に、/etc/default/grub で、GRUB_ENABLE_CRYPTODISK=y暗号化されていない古い /boot を追加および削除する必要があります。次に、/etc/fstab のエントリを更新し、/etc/crypttab を作成し、暗号化された rootfs に chroot し、initramfs と grub 構成を更新する必要があります。これらの手順の後、grub は起動前にパスフレーズを要求しますが、起動時に initramfs にパスフレーズを渡さないため、cryptsetup は再度パスフレーズを要求します。したがって、luks コンテナーに luks キー ファイルを追加して、initramfs に配置する必要があります。たとえば、私の /etc/crypttab ファイルには以下が含まれます。
luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks