web-dev-qa-db-ja.com

UEFI用のペンドライブにLinuxをインストールするにはどうすればよいですか?

Linux MintをライブCDからのディスク暗号化を使用してUSBペンドライブに正常にインストールしました(ユニバーサルUSBインストーラーを使用しないでください)。 BIOSの起動中にパスワードを要求します–完全に機能します。

しかし、UEFIブートに対して同じことを行うことは可能ですか? UEFIはFAT32で動作し、NTFSでは動作しないことを知っています。 Linuxファイルシステムがサポートされているかどうかは確認できません。最終的には暗号化せずにインストールすることは可能ですか?

残念ながら、LinuxMintをLiveCDからペンドライブにインストールしようとして失敗しました。これは、インストール前およびインストール中のパーティション設定です。

partition setup

なにが問題ですか?どうすれば正しく設定できますか?ブートローダーはdev/sdb1またはdev/sdbに配置する必要があります(違いは何ですか)?

linuxinstallationlinux-mintuefidisk-encryption
1
hal

EFIシステムパーティション(ESP)のみをFAT32フォーマットにする必要があります。ここで、UEFIはOSローダーを探します。ローダーが見つかって選択されると、UEFIがそれを実行します。ローダーは、必要なファイルシステムのサポートを実装できます。

Linuxの場合、GRUBは通常、ローダーとして使用されます。暗号化されたセットアップの場合、最も簡単なアプローチは、暗号化された_/boot_パーティションを使用する暗号化されていない別の_/_パーティションを使用することです。起動します。

_/boot_は暗号化されていないため、この設定は安全ではないと主張する人もいるかもしれませんが、結局のところESPも暗号化されておらず、ハイジャックされる可能性があります。それが弱点である場合あなたの脅威モデル、あなたはしなければなりません:

  • カーネルとinitramfsに署名します
  • カーネル署名をチェックする自己完結型のGRUBローダーを構築する
  • GRUBローダー
  • キーをUEFIキーストアに追加します
  • UEFIキーストアから他のキーを削除します

ポータブルセットアップの場合、これは実行不可能であるため、暗号化されていない_/boot_は、暗号化されたものよりも安全ではありません。ファイルは引き続き暗号化された_/_にあります。

2
gronostaj