web-dev-qa-db-ja.com

UEFIのフルディスク暗号化を使用してDebianをインストールする方法

それで、UEFIを使ってSSDドライブに最新バージョンのDebianをインストールしようとしています。使用したい シナモン[〜#〜] kde [〜#〜]デスクトップ環境で、ドライブを完全に暗号化します。
私は以前にWindows 10を使用しており、Unix/Linux/Debianの専門家ではありません(これが必要であるとは考えていません)。


OSのインストールは、どのOSも適切に機能するために絶対に必要な最も基本的なものであると考えているため、Debianの状態にかなり不満を感じています。私は単に最新のハードウェアと標準(SSDとUEFI)を使用しており、暗号化はすべての人にとって必要不可欠であると考えています。


だからここに私がやったことがあります:

  • 行きました https://cdimage.debian.org/debian-cd/current/AMD64/iso-cd/ ダウンロードdebian-8.8.0-AMD64-CD-1 .isoは、HashMyFilesを使用して.isoのハッシュを検証し、CDに書き込みました(DVDは機能しません)
  • それから私はこのガイドに従いました (注:簡単な選択でUEFIの適切なパーティションを設定できる方がずっと良いでしょう。ガイドなどを求めるために最初にGoogleに依頼する必要はありません!)
    Debian Jessieでのフルディスク暗号化のセットアップ
    インストール中にネットワーク接続がなく、選択できるソフトウェアは「基本ソフトウェア」と「デスクトップ環境」のみでした。パーティションを作成すると、2つの奇妙な追加のエントリがFREE SPACEで表示されます。/bootパーティションの他に、チュートリアルには記載されていないが、最初のインストールの試行が完全に失敗したために作成しなければならない「EFIシステムパーティション」パーティションも作成しました。
  • 再起動のインストールが完了するまで、それをたどることができました。再起動すると、次のようになります。

    Loading, please wait...
    1.xxxxxx usb 1-3: device descriptor read/64, error -71
    [    1.xxxxxx usb 1-3: device descriptor read/64, error -71
    Please unlock disk sda2_crypt: _
    
  • 私は自分のパスワードを1回正しく入力して、以下を取得します。

    No key available with this passphrase.
    cryptsetup: cryptsetup failed, bad password or options?
    
  • もう一度パスワードを正しく入力すると、「正常にセットアップされました」と「ジャーナルを回復しています」と表示されます(何度も試しましたが、常に2回目の試行でのみ機能します)。

  • 次に、(太字で)「/ homeのディスクのパスフレーズを入力してください...」と表示されます。もう一度パスワードを入力する必要があります。 (上記のガイドを参照してください-一度だけ入力する必要がある1つのパスワードでドライブ全体を簡単に暗号化する方法を人々がまだ実装していない理由がわかりません)
  • それから私はそれが言うところのターミナルに着きます:

    Debian GNU/Linux 8 name tty1
    
    name login:
    
  • ユーザー名(rootとインストール時に設定したユーザーで試してみました)とパスワードを入力して、次の情報を取得します。

    username@name:~$_
    
  • それ以上の情報は提供されず、グラフィカルデスクトップ環境もありません。
    ここでの進め方がわかりません。

これは役に立たなかった:wiki.debian.org/UEFI
startxでもデスクトップ環境にアクセスできませんでした。また、私はしぶしぶ、セキュアブートを無効にしてみましたが、これも役に立ちませんでした。


更新:チュートリアルに従わずに「ガイド付き-ディスク全体を使用して暗号化LVMをセットアップする」を選択した別のインストールを試みました。そこでパスワードを1回入力するだけで、起動時にパスワードを入力する前に次のようになります。

Loading, please wait...
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
[    1.xxxxxx usb 1-3: device descriptor read/64, error -71
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/root
 Volume group "name-vg" not found
 Skipping volume group name-vg
Unable to find LVM volume name-vg/swap_1
Please unlock disk sda3_crypt: _

パスワードを入力して2つのアカウント(rootまたはユーザー名)の1つにログインすると、デスクトップ環境が得られず、bashターミナルにとどまり、それ以上の情報は提供されません。 startxと入力すると、次の情報しか得られません。

username@name:~# []

何も入力できない場所。メインボードのみのオンボードグラフィックスで試してみました。グラフィックカードを組み込んだ場合、上記の画面が表示されず、黒い画面/機能しないモニターが表示されます。また、UEFI設定をデフォルトにリセットしてみました(ブートモードをUEFIに変更しただけです)。

私がここにいることにどれほど失望したかを誇張することはできません。異常なことをしたり、一般的ではないハードウェアを使用したりしていません。私はWindowsからFOSSに移動しようとしましたが、これまでのところ不可能であるようです:(



Update 2:よし、今度は「エキスパートモード」でもう一度試してみたところ、オプションが増えた。その中で私はそれについて尋ねられたときに(wiki.debian.org/UEFIで推奨されているように)リムーバブルメディアパスにもインストールしました。それは助けにはならなかった。

また、私はこの投稿に出くわしました: https://forum.level1techs.com/t/solved-installing-linux-on-an-m-2-ssd/110982/46 他のユーザーが持っていた場所同じ問題。

今日はさらにいくつかのテストを行いますが、原因は私のメインボードB250 PC MATE UEFIを使用する非Windowsオペレーティングシステムでは機能しない

MSIおよび潜在的にUEFIによってこれが受け入れられないであることがわかり、他の人もそれを行い、それに応じて行動できることを願っています(この問題を潜在的なバイヤーに知らせ、ボイコット、訴訟など)。

私は今3つのオプションを持っているようです:

  • Windows 10をインストールする(ただし、脆弱性、バックドア、および専用ソフトウェアから離れたい)
  • UEFIの代わりにレガシーモードでDebianをインストールします(これが機能し、2 TBを超える非ブートドライブを使用できることを願っています。これにより、特定のUEFIの改善を見逃してしまい、将来的にセキュアブートを使用したいと考えていました)。
  • 新しいメインボードを取得する(別のメインボードで動作することをどのように確認できますか?)

追加質問: DebianにレガシーBIOSを使用するか、新しいメインボードを入手する必要がありますか?

Update 3:暗号化せず、個別のホームパーティションなしで、レガシーBIOSで試してみました。私はまだ同じ問題を抱えているため、原因は不明ですが、UEFIのようではありません。何か案は?

2
mYnDstrEAm

私はそれをDebian 9.0.(DVDからブートすることで)動作させましたが、この質問をした後にリリースされました。私は単に標準のUEFIインストールを実行し、「ガイド-ディスク全体を使用し、暗号化されたLVMをセットアップする」と「シナモン」をデスクトップ環境として選択しました。


SecureBootはまだサポートされていません。ブート時に、パスワードを入力する前に数秒待つ必要があります。インターネット接続なしでインストールした後、sources.listファイルに問題が発生しましたが、修正されました。

インストール後、Sudoとファイアウォール(gufw)をインストールし、sudoersファイルにonesユーザーを追加する必要があります。また、apt-get update && apt-get upgradeを実行して、すべてがアップグレードされていることを確認する必要があります。

1
mYnDstrEAm

ログインプロンプトが表示され、ログインできた場合は、ディスクにオペレーティングシステムをインストールできました。グラフィカルデスクトップ環境が表示されない場合、それはディスクの暗号化に関連しない別の問題です。

EFIシステムパーティションを含むディスク全体の暗号化は、UEFIではサポートされていません。ファームウェアはディスクからファイルをロードする必要があり、UEFIファームウェアは暗号化されたディスクをサポートしません。

0
Johan Myréen