UEFIシステムにおけるRHEL8の/bootおよび/boot/efi暗号化

UEFIシステムにおけるRHEL8の/bootおよび/boot/efi暗号化

私の目標は、完全なシステム暗号化のためにRHEL8 UEFIセキュアブートシステムでluks1を使用して/bootおよび/boot/efiパーティションを暗号化することです。

BIOSモードRHEL8インストールでは、/bootパーティションを暗号化(LUKS1)し、grubを更新して必要な暗号化モジュールを事前にロードできますが、UEFIシステムは/bootおよび/boot/efiパーティションを暗号化しようとしています。すべてを暗号化できますが、新しいパラメータを受け入れるようにGRUB2を更新する際に問題があります。私の基本的なステップは次のとおりです。

  • /boot および /boot/efi パーティションデータを /root にコピーします。
  • どちらのパーティションもマウント解除
  • パーティションを luks1 に変換し、データを暗号化し、再マウントし、再度移動します。
  • 新しいUUIDでfstabとcrypttabを変更する
  • grub2-mkconfigを使用して新しいgrub設定を作成します(これにより、insmod cryptodiskやその他のエントリを使用して/boot/efi/EFI/redhat/grub.cfgファイルが適切に変更されます)。
  • 新しいブートローダのインストール

ブートローダ(GRUB2)の変更を除いて、すべてがうまく機能します。 grub2-installを使用すると、grub2がuefiセキュアブートシステムを更新できないというエラーメッセージが表示されます。 efibootmgrを試してみましたが、プログラムはブートローダを再インストールせずに現在のエントリのみを管理しているようです。

必要なluks1暗号化サポートを使用してUEFIセキュアブートシステムにgrubブートローダを再インストールするために使用できる手順はありますか?

よろしくお願いします。

関連情報