暗号化されたルートを使用したDebianのインストール:インストーラはEFI / bootパーティションを表示できません

暗号化されたルートを使用したDebianのインストール:インストーラはEFI / bootパーティションを表示できません

私はDebianインストーラ(Stretch-rc1用)を使用して、暗号化された/パーティションと暗号化されていないパーティションの非常に標準的な設定であると思うことをやろうとしています。 UEFIシステムなので、オプションを選択して作成しました/boot。その後、暗号化されたLUKSボリュームを作成し、そこにルートファイルシステムを配置しました。これらの操作はすべてインストーラによって実行されますが、GPTとフォーマットされていないパーティションは最初にfdiskを使用して作成されます。/bootEFI System Partition

変更をディスクに書き込もうとすると、次のエラーが発生します。

暗号化構成の失敗

暗号化されたパーティションに保存するルートファイルシステムを選択しました。この機能を使用するには、カーネルとinitrdを保存するための別々の/ bootパーティションが必要です。戻って/bootパーティションを設定する必要があります。

以前は暗号化していませんでしたが、すべてがうまく機能していたので混乱しています。 ESP/bootパーティションを確認すると、起動可能フラグがオンになっていることがわかります。たぶん私はDebianがESPで何をしようとしているのかについて根本的な誤解を抱いているのではないでしょうか。この作業を円滑に行うためのどんな提案でも歓迎します。

答え1

ついに問題を解決しました。

デフォルトでは、2つではなく3つのパーティションが必要です。

  1. ESPFAT、暗号化されていません)
  2. /bootext、暗号化されていません)
  3. /(すべての有効なLinuxファイルシステム、暗号化)

暗号化されていないEFIシステムパーティション(ESPただカーネルまたは対応するinitrd / initramfs(カーネルを含む初期のRAMディスクイメージ)ではなく、ブートローダー(GRUBなど)を含めます。ブートローダ自体は、initrdにアクセスするためにルートファイルシステムを復号化してアクセスすることはできません。したがって、initrdは、ブートローダで解凍できるファイルシステム(たとえば)/bootでフォーマットされた暗号化されていない独自のパーティションに存在する必要があります。カーネルが解凍されたら、残りのブートプロセスを引き受けて、ルートファイルシステムのパスワードを復号化してマウントできます。extext4

私はこれを見つけました回答役に立つ。

関連情報