複数のコンピューターに投資することなく、さまざまなタスク(作業、オープンソースプログラミング、ゲーム)の懸念を明確に分離するには、個別に暗号化されたパーティションに並列オペレーティングシステムをインストールすることをお勧めします。
ウィッシュリスト、目標:
以下の手順を使用して、1台のマシンに3つの個別のUbuntuシステムをセットアップしました。よく働く!
refind
ではなく grub
を使用します。/boot
パーティションを使用しないでください。 refind
カーネルを直接ブートするEFIシステムパーティション(ESP) から実行します。refind
でサポートされていないため、現在のソリューションはカーネルファイルを暗号化しないことに注意してください。refind
をインストールし、セキュアブートで起動することを確認します。refind
ブートプロセスのセットアップを続けます。GUIDパーティションテーブル(GPT) およびESPがWindowsインストーラーによってセットアップされており、追加のパーティションまたは空のディスク領域があると想定します。 Ubuntuインスタンスの場合。
一貫性を保つために、以下でこのパーティションパスの名前を使用します。パスはシステムによって異なり、インスタンスによっても異なるため、メモしておいてください。
/dev/nvme0n1p11
はESPです。/dev/nvme0n1p22
は、一時的な/boot
パーティションです。/dev/nvme0n1p33
は、インスタンスごとの「暗号化のための物理ボリューム」(ロックされた)ルート/
パーティションです。/dev/mapper/nvme0n1p33_crypt
は、(ロックされていない)ルートの/
パーティションです。Sudo apt update && Sudo apt dist-upgrade -y
ubiquity --no-bootloader
efi
タイプのパーティションを見つけます。/dev/nvme0n1p11
です。/dev/nvme0n1p22
です。/boot
としてマウントします。/dev/nvme0n1p33
です。_crypt
。で終わる、ロックされていない新しいパーティションを見つけます。/dev/mapper/nvme0n1p33_crypt
です。/
に変更します。refind
を設定します。新しいオペレーティングシステムにchroot
を入力して、さらに変更を加えます。
# NOTE: create temporary mount directories.
Sudo mkdir /mnt/bootpartition /mnt/ospartition
# NOTE: Mount the newly created encrypted partition.
Sudo mount -o subvol=@ /dev/mapper/nvme0n1p33_crypt /mnt/ospartition
Sudo mount /dev/nvme0n1p22 /mnt/bootpartition
# NOTE: Copy the boot files into the encrypted partition.
# NOTE: Watch those trailing slashes! rsync is very sensitive to them.
Sudo rsync -aXAH /mnt/bootpartition/ /mnt/ospartition/boot/
Sudo mount /dev/nvme0n1p11 /mnt/ospartition/boot/efi
Sudo mount --bind /dev /mnt/ospartition/dev
Sudo mount --bind /proc /mnt/ospartition/proc
Sudo mount --bind /sys /mnt/ospartition/sys
# NOTE: change root to the newly installed Ubuntu.
Sudo chroot /mnt/ospartition
/etc/fstab
を編集し、/boot
の行をコメント化します。他のエントリは正しいです。vmlinuz
の kernel(initrd
) および initial ramdisk(refind
) のEFIブート可能コピーを作成します。 ubuntu-instance
を独自のものに置き換えることを忘れないでください。ウブントゥワークなどを使っています。 Ubuntuインストーラによって上書きされる可能性があるため、「ubuntu」だけを使用しないでください。# NOTE: Choose your own per-instance directory name.
Sudo mkdir /boot/efi/EFI/ubuntu-instance/
Sudo cp /boot/vmlinuz* /boot/initrd* /boot/efi/EFI/ubuntu-instance/
/dev/nvme0n1p33
を探します。 UUIDをメモします(またはクリップボードにコピーします)(ただし、PARTUUIDではありません)。Sudo blkid
refind_linux.conf
の暗号化されたパーティション用にrefind
のUbuntuインスタンスカーネルブートオプションを準備します。以下のテンプレートから/boot/efi/EFI/ubuntu-instance/refind_linux.conf
を作成しますが、パスとUUIDを使用します。"Boot with standard options" "root=/dev/mapper/nvme0n1p33_crypt cryptdevice=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx:nvme0n1p33_crypt ro quiet splash"
"Boot to single-user mode" "root=/dev/mapper/nvme0n1p33_crypt cryptdevice=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx:nvme0n1p33_crypt ro single"
"Boot with minimal options" "root=/dev/mapper/nvme0n1p33_crypt cryptdevice=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx:nvme0n1p33_crypt ro"
chroot
を終了して再起動します。 refind
。で新しいカーネルを選択することを忘れないでください。exit
Sudo reboot
オプション。これにより、refind
の未使用のブートオプションが削除されます。システムが安定するまで、それらをバックアップとして残しておくのが好きです。
# NOTE: The shared Ubuntu Grub EFI loader might be leftover from previous installations.
#Sudo rm -r /boot/efi/EFI/ubuntu/
# NOTE: Optionally clean up files from the Ubuntu installer.
#Sudo mkdir /mnt/bootpartition
#Sudo mount /dev/nvme0n1p22 /mnt/bootpartition
#Sudo rm -r /mnt/bootpartition/*
Ubuntuはrefind
を認識していないため、カーネル+ドライバーの更新には、vmlinuz + initrdの手動コピー手順が必要です。
/boot
から暗号化されていないESPのubuntu-instance
に上記のようにコピーします。refind
からのシングルユーザーモード。/boot
を含む暗号化されたディスク。/boot
からESPのubuntu-instance
にvmlinuz + initrdをコピーします。refind
が読み取れるようにする場合は、カーネルを暗号化されていないESPに保持しないようにしてください。これにより、上記の設定が大幅に簡略化される場合があります。ubiquity --no-bootloader
を実行するとshim-signed
のインストールがスキップされるため、サードパーティのDKMSモジュール/ドライバー(nvidia etcetera)では、セキュアブートのために手動で署名する必要があります。これは、各カーネル/ドライバの更新後に kmodsign
for /lib/modules/x.y.z/updates/dkms/*.ko
を使用して実行できます。よりスムーズな代替策は、自動署名を行うshim-signed
(grub
の一部を含む)をインストールすることです。おそらく、汚いことの少ない代替案がありますか?refind
のvmlinuz + initrdコピー。/boot
ファイル用に再利用します。誤ってESPをフォーマットするなどして破壊するという追加のリスクは望んでいませんが、同様に動作します。ありがとうございました!
refind
の作者である Roderick W. Smith によって書かれた、より多くの回答、記事、ドキュメント。1 これ Wayland plus Nvidia grapics driver problem が私を捕まえた。ディスクのロックが解除された後、黒い画面が表示されます。幸い、簡単に修正でき、Waylandは一度復元できます 更新されたNvidiaドライバーがインストールされました -更新されたkernel + initrdをESPにコピーすることを忘れないでください。