だから私は読んだウィキペディアそしてこの回答、私はまだ少し迷っています。 Wikipediaでは、多くの部分が選択肢のように感じます。
これが私がすることです。 Manjaroを使用して単一のパーティションにインストールしましたが、後悔する可能性があり、ディスク全体の暗号化を有効にしました。 WindowsまたはLinuxを起動すると、パスワードを入力するように求められ、実際のgrubメニューが表示されることが確認されました。
どのオプションがうまくいくのかわかりません。 LVMが有効になっているが100%ではないようで、ext4を選択したと確信しています。 grub.confビルドスクリプトの修正を考えてみましたが、どこにいるのか、それが正しい場所なのかわかりません。
Manjaroにdiscard、、no_read_workqueueを追加する正解は何ですか?no_write_workqueue
修正する:
これは最新の設定ですが、回復シェルで停止し続けます。すべての操作を実行するためにsystemd cryptsetupを使用しようとしていますが、これはluks.*パラメータを使用しているようです。
メモ:名前は、root回復シェルの手動インストールに由来しています。
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS MOUNTPOINT UUID
loop0 7:0 0 450.2M 1 loop /var/lib/snapd/snap/wickrme/543 /var/lib/snapd/snap/wickrme/543
loop1 7:1 0 55.4M 1 loop /var/lib/snapd/snap/core18/2074 /var/lib/snapd/snap/core18/2074
loop2 7:2 0 65.1M 1 loop /var/lib/snapd/snap/gtk-common-themes/1515 /var/lib/snapd/snap/gtk-common-themes/1515
loop3 7:3 0 32.3M 1 loop /var/lib/snapd/snap/snapd/12398 /var/lib/snapd/snap/snapd/12398
zram0 253:0 0 1.5G 0 disk [SWAP] [SWAP]
nvme0n1 259:0 0 953.9G 0 disk
├─nvme0n1p1 259:1 0 100M 0 part /boot/efi /boot/efi 6CEB-F417
├─nvme0n1p2 259:2 0 16M 0 part
├─nvme0n1p3 259:3 0 780.6G 0 part
├─nvme0n1p4 259:4 0 508M 0 part CA343C30343C223D
├─nvme0n1p5 259:5 0 146.5G 0 part 74c51543-eb14-4f61-afeb-b5de6c10a32a
│ └─root 254:0 0 146.5G 0 crypt / / e0a93c98-88a8-4fc9-9948-acdb423d05fd
└─nvme0n1p6 259:6 0 18.6G 0 part [SWAP] [SWAP] 72db96da-87e4-4b17-a622-6a4d56b314c6
4 ❯ cryptsetup luksDump /dev/nvme0n1p5 # ~
LUKS header information for /dev/nvme0n1p5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
UUID: 74c51543-eb14-4f61-afeb-b5de6c10a32a
❯ cat /etc/default/grub | grep -v -e '^[[:space:]]*$' -e '^#' # ~
GRUB_DEFAULT=saved
GRUB_TIMEOUT=5
GRUB_TIMEOUT_STYLE=hidden
GRUB_DISTRIBUTOR="Manjaro"
GRUB_CMDLINE_LINUX_DEFAULT="quiet luks.uuid=74c51543-eb14-4f61-afeb-b5de6c10a32a luks.options=discard,no_read_workqueue,no_write_workqueue root=/dev/mapper/luks-e0a93c98-88a8-4fc9-9948-acdb423d05fd splash apparmor=1 security=apparmor udev.log_priority=3"
GRUB_CMDLINE_LINUX=""
GRUB_SAVEDEFAULT=true
GRUB_PRELOAD_MODULES="part_gpt part_msdos"
GRUB_TERMINAL_INPUT=console
GRUB_GFXMODE=1280x768x32,auto
GRUB_DISABLE_RECOVERY=false
GRUB_DISABLE_OS_PROBER=false
GRUB_COLOR_NORMAL="light-gray/black"
GRUB_COLOR_HIGHLIGHT="green/black"
GRUB_THEME="/usr/share/grub/themes/manjaro/theme.txt"
GRUB_ROOT_FS_RO=true
GRUB_ENABLE_CRYPTODISK=y
私が知る限りsystemd-cryptsetup-generatorより多くのオプションは必要ありません。一つはありますが、/etc/crypttabすべてがコメントアウトされています。
私はこれがGRUB_CMDLINE_LINUX_DEFAULT私の唯一の問題であると確信していますが、それが何であるかはわかりません。 Googleは、blkidまたはの出力を使用してこれを行う方法の多くの例を見つけることができませんでしたlsblk。
答え1
最後に、私はブーツを修理し、私が望む機能を得るためにこれを行う必要があることに気づきました。
GRUB_CMDLINE_LINUX_DEFAULT="cryptdevice=UUID=74c51543-eb14-4f61-afeb-b5de6c10a32a:root:allow-discards,no-read-workqueue,no-write-workqueue quiet udev.log_priority=3"
答え2
TLDR - 可能であればディスク全体を暗号化しないでください。可能であれば、最後に完全に分割されていない呼吸空間を提供し、ほとんどのデフォルト値をfstabに残します。
これは不明なユーザー選択の妥協案の1つなので、注意を払って管理者と協力します。
TRIMコマンドはSSDの寿命を延ばす可能性がありますが、LUKSパーティションの脆弱性を高める可能性があります。
実際に取り付けると、ドライブの寿命はどれくらい短くなりますか?どれくらい快適だと感じますか?
実際に暗号化する必要があるドライブの量はどのくらいですか? TRIMを使用して暗号化されたデータはどのくらい脆弱ですか?
cronで手動で実行することも、次のようにすることもできます。提供する
私は複数のコンピュータでデフォルト設定に固執し、常にルートを暗号化していますが、通常はルートとホームディレクトリが少なくとも100 GBのLUKSパーティションしかありません。全体的に暗号化されたパーティションを持たないドライブと比較して、これによりプライベートドライブが早期にシャットダウンするのを見たことがないと思います。過熱したノートブックで正常に動作しないmsataを除いて、SSDが機能していない記憶はありません(コンピュータが熱くなると、ある時点でデータが不足します)。しかし、いくつかのRAID 5ハードウェアコントローラは、同様の状況のためにSSDをシャットダウンすることを聞いた。編集:私は死んだSSDを所有していないという事実を振り返ります。最初は決して良くなかったSSDドライブボックス、一部はひどかったが、特によく知られているブランドの安いSSDがたくさんあります。事務所の文字コンピューター会社 小売会社ではこれを近所で販売しており、数時間しか使用しても故障することが知られています。
SSD摩耗面では可能ですが、ノアテムさらに重要なことは、特に読み取り中心のドライブ/パーティションでは次のとおりです。
これを軽減するために、通常、ドライブの最後の10%は分割されません。ディスクがいっぱいになっても、Wear Spinnerはディスクを大量に磨耗させます(ここにはファイルシステムの一般的な予約ブロックは含まれていません)。私は過去10年間、パーソナルコンピュータでスワップパーティションを使用していませんでした。ディスク全体を暗号化せずに、LUKSのLVM内でルート、ホームusr、およびvarを暗号化し、/mnt/steam SteamLibraryのパーティションなどの重要でないエントリを配置しようとしている別のデータパーティションを作成します。もう一度ダウンロードしてください。 100GB LUKSパーティションは通常、アーチルートusr varホームパーティションに十分であり、ほとんどの最新システムには多くのRAMがあるため、/ tmpにtmpfsを使用します。多くのソフトウェアがインストールされているので、/ usrは次のようになります。
du -sh /usr
26G /usr
lvm が存在することを確認するには、pvscan lvscan vgscan コマンドを使用します。例:
[root@examplenode1 ~]# lvscan
ACTIVE '/dev/examplemachineVG/examplemachineRoot' [40.00 GiB] inherit
ACTIVE '/dev/examplemachineVG/examplemachineHome' [70.98 GiB] inherit
[root@examplenode1 ~]# vgscan
Found volume group "examplemachineVG" using metadata type lvm2
[root@examplenode1 ~]# pvscan
PV /dev/mapper/examplemachinecrypt VG examplemachineVG lvm2 [110.98 GiB / 0 free]
Total: 1 [110.98 GiB] / in use: 1 [110.98 GiB] / in no VG: 0 [0 ]
内容も確認してください
/dev/mapper/
そして
/etc/fstab
/etc/mtab