%20%EC%95%94%ED%98%B8%ED%99%94%EB%A1%9C%20%EB%A7%88%EC%9D%B4%EA%B7%B8%EB%A0%88%EC%9D%B4%EC%85%98%ED%95%A0%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
그래서 저는 노트북을 가지고 있는데 전체 디스크 암호화로 마이그레이션하는 것이 얼마나 어려운지 알고 싶습니다. 나는 이전에 한 번 새로 설치하여 이 작업을 수행한 적이 있으며 불행하게도 더 이상 액세스할 수 없는 HOWTO를 작성하기도 했습니다(기업 Wiki). 내 기대는 새로 설치에서 수행하는 작업이 아마도 매우 자동화되어 마이그레이션이 훨씬 더 어려울 수 있다는 것입니다. 가이드를 검색했지만 모두 "중복", "업데이트 필요", "삭제 후보" 등의 변형으로 표시되어 있어 어느 것이 가장 적절한 가이드인지 말하기가 매우 어렵습니다. .
답변1
저는 이러한 마이그레이션을 한두 번 수행했지만 발생하는 문제를 해결하려면 Google을 사용할 수 있어야 합니다. 이는 완전한 답변이 아니며 수행해야 할 작업의 대략적인 단계일 뿐입니다. 이러한 단계는 Live CD에서 수행해야 하며 LUKS 및 LVM 작업이 포함되므로 최신 버전의 KDE Partition Manager 3.0이 포함된 Live CD를 구하여 LUKS 및 LVM 작업에 사용할 수도 있습니다.
여유 공간이 충분하면(50% 이상) 다음을 수행할 수 있습니다.
- 현재 파티션의 크기를 조정하십시오.
- LUKS로 암호화된 새로운 LVM2 물리 볼륨(PV)을 생성합니다.
- LVM PV를 포함하는 새 볼륨 그룹을 생성합니다.
- rootfs에 대한 새 LVM 논리 볼륨을 생성합니다(아마도 스왑 및 기타 모든 파티션...). 나 자신은 하위 볼륨과 함께 btrfs를 사용하므로 btrfs와 swap만 사용했습니다.
- 데이터를 암호화된 파티션으로 이동
- 암호화되지 않은 파티션 삭제
- LVM 비활성화 및 LUKS 컨테이너 비활성화
- LUKS 컨테이너를 디스크의 시작 부분으로 이동(암호화되지 않은 데이터를 삭제하여 확보된 공간)
- LUKS 컨테이너를 다시 엽니다.
- 전체 디스크를 채울 수 있도록 LUKS 컨테이너를 확장하세요.
- 루트 파일 시스템을 포함하는 LVM LV를 확장합니다.
그런 다음 /etc/fstab의 항목을 업데이트하고, /etc/crypttab을 생성하고, 암호화된 rootfs에 chroot하고, initramfs 및 grub 구성을 업데이트해야 합니다.
여전히 /boot는 암호화되지 않은 상태로 남아 있습니다. /boot도 암호화할 수 있지만 이렇게 하면 몇 가지 추가 단계가 추가되므로 먼저 위의 모든 사항이 작동하는지 확인하세요. 부팅을 암호화하려면 /boot 파티션 정보의 내용을 rootfs/boot/로 이동해야 합니다. 그런 다음 /etc/default/grub에서 암호화되지 않은 오래된 /boot를 추가하고 제거해야 합니다 GRUB_ENABLE_CRYPTODISK=y. 그런 다음 다시 /etc/fstab의 항목을 업데이트하고, /etc/crypttab을 생성하고, 암호화된 rootfs로 chroot하고, initramfs 및 grub 구성을 업데이트해야 합니다. 이 단계 후에 grub은 부팅하기 전에 암호를 요청하지만 부팅 시 암호를 initramfs에 전달하지 않으므로 cryptsetup이 다시 암호를 묻습니다. 따라서 luks 컨테이너에 luks 키 파일을 추가하고 이를 initramfs에 넣어야 합니다. 예를 들어 내 /etc/crypttab 파일에는 다음이 포함되어 있습니다.
luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks