¿Cómo instalar Debian con cifrado de disco completo para UEFI?

tag-icon tag-icon debian uefi debian-installer disk-encryption debian-cd
¿Cómo instalar Debian con cifrado de disco completo para UEFI?

Estoy intentando instalar la última versión de Debian en mi unidad SSD con UEFI. Me gustaría usar canela.KDEentorno de escritorio y tener mi disco completamente cifrado.
Utilicé Windows 10 antes y no soy un experto en Unix/Linux/Debian (lo cual no consideraría necesario para esto).

Considero que la instalación del sistema operativo es lo más básico y absolutamente necesario para que cualquier sistema operativo funcione correctamente y, por lo tanto, estoy bastante frustrado con el estado de Debian al respecto. Simplemente estoy usando hardware y estándares modernos (SSD y UEFI) y considero que el cifrado es imprescindible para todos.

Así que esto es lo que hice:

  • Fui ahttps://cdimage.debian.org/debian-cd/current/amd64/iso-cd/descargadodebian-8.8.0-amd64-CD-1.isoverificó el hash del .iso usando HashMyFiles y lo grabó en un CD (los DVD no funcionan)
  • Luego seguí esta guía (nota: ¡sería mucho mejor poder configurar particiones adecuadas para UEFI con una simple selección! ¡Nadie quiere tener que buscar primero en Google guías y similares!) :
    Configuración del cifrado de disco completo en Debian Jessie
    No tengo conexión de red durante la instalación y el único software que pude seleccionar fue "Software básico" y "Entorno de escritorio". Al particionar, obtengo dos entradas adicionales extrañas con ESPACIO LIBRE: una con 1 MB y otra con 138,2 kB. ¿No estoy seguro de por qué se agregan? Además de la partición /boot, también creé una partición "Partición del sistema EFI" que no se describe en el tutorial pero que tuve que crear cuando mi primer intento de instalación falló por completo.

  • Pude seguirlo hasta el final de la instalación del reinicio. Cuando reinicio me sale esto:

    Loading, please wait...
1.xxxxxx usb 1-3: device descriptor read/64, error -71
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
Please unlock disk sda2_crypt: _

  • Ingreso mi contraseña correctamente una vez y obtengo:

    No key available with this passphrase.
cryptsetup: cryptsetup failed, bad password or options?

  • Vuelvo a ingresar mi contraseña correctamente y dice "configuración exitosa" y "recuperando diario" (¡intenté esto muchas veces y siempre solo funciona en el segundo intento!)

  • Luego dice (en negrita) "Ingrese la frase de contraseña para el disco... en /home". Tengo que ingresar mi contraseña una vez más (consulte la guía anterior; nuevamente, no estoy seguro de por qué la gente aún no ha implementado una forma). para cifrar fácilmente toda la unidad con una contraseña que debe ingresarse solo una vez)

  • Luego solo llego a la terminal donde dice:

    Debian GNU/Linux 8 name tty1

name login:

  • Ingreso mi nombre de usuario (lo probé con root y el usuario que configuré durante la instalación) y mi contraseña y obtengo:

    username@name:~$_
  • No se proporciona más información, ni entorno de escritorio gráfico, nada.
    No estoy seguro de cómo proceder aquí.

Esto no ayudó: wiki.debian.org/UEFI
startx tampoco me llevó al entorno de escritorio. También, a regañadientes, intenté desactivar el arranque seguro, lo que tampoco ayudó.

Actualizar: Probé otra instalación en la que no seguí el tutorial sino que seleccioné 'Guiada: usar todo el disco y configurar LVM cifrado'. Allí solo tengo que ingresar mi contraseña una vez y al inicio antes de ingresarla me sale esto:

Loading, please wait...
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/root
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/swap_1
Please unlock disk sda3_crypt: _

Una vez que ingresé mi contraseña e inicié sesión en una de mis 2 cuentas (raíz o nombre de usuario), no obtengo un entorno de escritorio, sino que me quedo en la terminal bash sin proporcionar más información. Cuando entro startxsolo me sale:

username@name:~# []

donde no puedo ingresar nada. Lo probé con mis gráficos integrados solo en la placa base. Si construyo mi tarjeta gráfica, no obtengo lo anterior sino una pantalla negra o un monitor que no funciona. También intenté restablecer mi configuración UEFI a los valores predeterminados (y solo cambiar el modo de inicio a UEFI).

No puedo exagerar lo decepcionado que estoy aquí. No intento hacer nada inusual ni tener ningún hardware poco común. Intenté alejarme de Windows y usar FOSS, pero parece que hasta ahora no es posible :(

Actualización 2: Muy bien, ahora intenté de nuevo con el "modo experto" que me dio más opciones. En él también lo instalé en la ruta del medio extraíble (como se recomienda en wiki.debian.org/UEFI) cuando me preguntaron al respecto. Eso no ayudó.

También me encontré con esta publicación:https://forum.level1techs.com/t/solved-installing-linux-on-an-m-2-ssd/110982/46donde otro usuario ha tenido el mismo problema.

Haré algunas pruebas más hoy pero parece que la causa esmi placa base B250 PC MATE no funciona con sistemas operativos que no sean Windows con UEFI.

encuentro estoinaceptablepor MSI y potencialmente UEFI y esperamos que otros también lo hagan y que podamos actuar en consecuencia (dar a conocer este problema a los compradores potenciales, boicotear, demandar, etc.).

Parece que ahora tengo 3 opciones:

  • Instalar Windows 10 (pero quiero alejarme de vulnerabilidades, puertas traseras y software propietario)
  • Instalar Debian con el modo Legacy en lugar de UEFI (espero que esto funcione y pueda usar unidades que no sean de arranque > 2 TB con él; también me perderé ciertas mejoras de UEFI y esperaba usar el arranque seguro en el futuro)
  • Obtener una nueva placa base (¿cómo puedo estar seguro de que funciona con otra placa base?)

Siguiente pregunta:¿Debo usar BIOS heredado para Debian u obtener una nueva placa base?

Actualización 3: Ahora lo probé con BIOS heredado, sin cifrado y sin partición de inicio separada. Sigo teniendo el mismo problema, así que no estoy seguro de cuál es la causa, pero no parece ser UEFI. ¿Algunas ideas?

Respuesta1

Lo tengo funcionando conDebian 9.0.0(arrancando desde el DVD) que se lanzó después de que planteé esta pregunta. Simplemente realicé la instalación UEFI estándar y seleccioné 'Guiada: usar todo el disco y configurar LVM cifrado' y 'Cinnamon' como entorno de escritorio.

SecureBoot aún no es compatible; y al arrancar ahora necesito esperar unos segundos antes de ingresar la contraseña para que funcione en el primer intento. Lo instalé sin conexión a Internet y luego tuve algunos problemas con el archivo sources.list, pero lo solucioné.

Después de la instalación, se debe instalar sudo y el firewall (gufw) y agregar el usuario al archivo sudoers. También se debe ejecutar apt-get update && apt-get upgradey asegurarse de que todo esté actualizado.

Respuesta2

Si recibió un mensaje de inicio de sesión y pudo iniciar sesión, entonces logró instalar el sistema operativo en el disco. Si no aparece ningún entorno de escritorio gráfico, ese es un problema diferente que no está relacionado con el cifrado del disco.

UEFI no admite el cifrado de todo el disco, incluida la partición del sistema EFI. El firmware necesita cargar archivos desde el disco y el firmware UEFI no admite discos cifrados.

información relacionada