Como instalar o Debian com criptografia completa de disco para UEFI?

tag-icon tag-icon debian uefi debian-installer disk-encryption debian-cd
Como instalar o Debian com criptografia completa de disco para UEFI?

Estou tentando instalar a versão mais recente do Debian em minha unidade SSD com UEFI. Eu gostaria de usar a CanelaKDEambiente de desktop e ter minha unidade totalmente criptografada.
Eu usei o Windows 10 antes e não sou um especialista em Unix/Linux/Debian (o que não consideraria uma necessidade para isso).

Considero a instalação do sistema operacional a coisa mais básica e absolutamente necessária para que qualquer sistema operacional funcione corretamente e, portanto, estou bastante frustrado com o estado do Debian nisso. Estou simplesmente usando hardware e padrões modernos (SSD e UEFI) e considero a criptografia uma obrigação para todos.

Então aqui está o que eu fiz:

  • Frequentouhttps://cdimage.debian.org/debian-cd/current/amd64/iso-cd/baixadodebian-8.8.0-amd64-CD-1.isoverifiquei o hash do .iso usando HashMyFiles e gravei em um CD (os DVDs não funcionam)
  • Então segui este guia (nota: seria muito melhor poder configurar partições adequadas para UEFI com uma simples seleção! Ninguém quer primeiro procurar guias no Google e coisas do gênero!) :
    Configurando criptografia completa de disco no Debian Jessie
    Não tenho conexão de rede durante a instalação e o único software que consegui selecionar foi "Software básico" e "Ambiente de desktop". Ao particionar, recebo duas entradas adicionais estranhas com FREE SPACE: uma com 1 MB e outra com 138,2 kB - não tenho certeza por que elas estão sendo adicionadas? Além da partição /boot, também criei uma partição "EFI System Partition" que não está descrita no tutorial, mas que tive que criar porque minha primeira tentativa de instalação falhou completamente.

  • Consegui acompanhá-lo até o final da instalação da reinicialização. Quando eu reinicio, recebo isto:

    Loading, please wait...
1.xxxxxx usb 1-3: device descriptor read/64, error -71
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
Please unlock disk sda2_crypt: _

  • Eu insiro minha senha corretamente uma vez e obtenho:

    No key available with this passphrase.
cryptsetup: cryptsetup failed, bad password or options?

  • Eu digito minha senha novamente corretamente e aparece "configuração com sucesso" e "recuperação de diário" (tentei isso várias vezes e sempre funciona apenas na segunda tentativa!)

  • Em seguida, aparece (em negrito) "Por favor, digite a senha do disco... em /home" Tenho que digitar minha senha mais uma vez (veja o guia acima - novamente, não sei por que as pessoas ainda não implementaram uma maneira para criptografar facilmente toda a unidade com uma senha que deve ser inserida apenas uma vez)

  • Aí só chego ao terminal onde diz:

    Debian GNU/Linux 8 name tty1

name login:

  • Eu insiro meu nome de usuário (tentei com root e o usuário que configurei durante a instalação) e minha senha e obtenho:

    username@name:~$_
  • Nenhuma informação adicional fornecida, nenhum ambiente gráfico de desktop, nada.
    Não tenho certeza de como proceder aqui.

Isso não ajudou: wiki.debian.org/UEFI
startx também não me levou ao ambiente de desktop. Além disso, relutantemente, tentei desativar a inicialização segura, o que também não ajudou.

Atualizar: Tentei outra instalação onde não segui o tutorial, mas selecionei 'Guiado - usar disco inteiro e configurar LVM criptografado'. Lá eu só preciso digitar minha senha uma vez e na inicialização, antes de digitá-la, recebo o seguinte:

Loading, please wait...
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/root
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/swap_1
Please unlock disk sda3_crypt: _

Depois de inserir minha senha e fazer login em uma das minhas 2 contas (root ou nome de usuário), não estou obtendo um ambiente de área de trabalho, mas permaneço no terminal bash sem nenhuma informação adicional fornecida. Quando eu entro startxsó recebo:

username@name:~# []

onde não consigo entrar em nada. Eu tentei com meus gráficos integrados apenas da placa-mãe. Se eu construir minha placa gráfica, não obterei o que foi dito acima, mas uma tela preta/monitor que não funciona. Também tentei redefinir minhas configurações de UEFI para o padrão (e apenas alterar o modo de inicialização para UEFI).

Não posso exagerar o quanto estou decepcionado aqui. Não estou tentando fazer nada incomum ou ter hardware incomum. Tentei me afastar do Windows e ir para o FOSS, mas parece que não foi possível até agora :(

Atualização 2: Tudo bem, agora fiz outra tentativa com o "modo especialista", que me deu mais opções. Nele eu também instalei no caminho da mídia removível (conforme recomendado em wiki.debian.org/UEFI) quando fui questionado sobre isso. Isso não ajudou.

Também me deparei com este post:https://forum.level1techs.com/t/solved-installing-linux-on-an-m-2-ssd/110982/46onde outro usuário teve o mesmo problema.

Farei mais alguns testes hoje, mas parece que a causa éminha placa-mãe B250 PC MATE não funciona com sistemas operacionais não Windows com UEFI.

eu acho issoinaceitávelpela MSI e potencialmente pela UEFI e espero que outros também o façam e que possamos agir de acordo (divulgar esta questão a potenciais compradores, boicotar, processar, etc.).

Parece que agora tenho 3 opções:

  • Instalando o Windows 10 (mas quero me afastar de vulnerabilidades, backdoors e software proprietário)
  • Instalando o Debian com modo Legacy em vez de UEFI (espero que isso funcione e que eu possa usar unidades que não sejam de inicialização> 2 TB com ele; também sentirei falta de algumas melhorias de UEFI e esperava usar inicialização segura no futuro)
  • Obtendo uma nova placa-mãe (como posso ter certeza de que ela funciona com outra placa-mãe?)

Questão a seguir:Devo usar BIOS legado para Debian ou adquirir uma nova placa-mãe?

Atualização 3: Então agora tentei com BIOS legado, sem criptografia e sem partição inicial separada. Ainda estou tendo o mesmo problema, então não tenho certeza de qual é a causa, mas não parece ser UEFI. Alguma ideia?

Responder1

Eu consegui trabalhar comDebian 9.0.0(inicializando a partir do DVD) que foi lançado depois que fiz esta pergunta. Simplesmente passei pela instalação UEFI padrão e selecionei 'Guiado - usar disco inteiro e configurar LVM criptografado' e 'Cinnamon' como ambiente de desktop.

SecureBoot ainda não é compatível; e ao inicializar agora preciso esperar alguns segundos antes de inserir a senha para que funcione na primeira tentativa. Instalei sem conexão com a Internet e tive alguns problemas com o arquivo sources.list depois, mas consegui consertar.

Após a instalação, deve-se instalar o sudo e o firewall (gufw) e adicionar o usuário ao arquivo sudoers. Deve-se também executar apt-get update && apt-get upgradee certificar-se de que tudo está atualizado.

Responder2

Se você recebeu um prompt de login e conseguiu fazer login, você conseguiu instalar o sistema operacional no disco. Se nenhum ambiente gráfico de área de trabalho aparecer, esse é um problema diferente que não está relacionado à criptografia de disco.

A criptografia de todo o disco, incluindo a partição do sistema EFI, não é suportada pela UEFI. O firmware precisa carregar arquivos do disco e o firmware UEFI não oferece suporte a discos criptografados.

informação relacionada