在 Arch Linux 中配置安全启动与全盘加密

就是说说方案,操作上也没啥难的,别人写过的我就直接放链接,不再写一遍了. (╯‵□′)╯︵┻━┻

概况

使用 Shim-signed 与 systemd-boot 启用安全启动.

使用 btrfs on LUKS 加密全盘,并在 btrfs 中启用交换文件,添加 FIDO2 密钥以及 TPM 支持.

细说

安全启动

1. 参照 systemd-boot 正确配置 systemd-boot.(不用 GRUB 是因为相比 systemd-boot 来说它的配置太麻烦了.)
2. 参照 Unified Extensible Firmware Interface/Secure Boot#shim 配置 shim-signed. (这里并不建议使用直接添加安全启动密钥的办法.)

加密方案

1. 参照 Dm-crypt/Device_encryption 建立符合你的需求的加密设备,在设备中建立你需要的分区.
2. 修改/etc//etc/mkinitcpio.conf文件,添加你需要的钩子并重新生成initramfs
3. 修改systemd-boot配置使你的分区可以使用密码成功解锁并引导进入系统
4. 使用 systemd-cryptenroll添加 FIDO2 和 TPM 支持. 参照 使用 FIDO2 设备解锁全盘加密 和 Trusted_Platform_Module#Data-at-rest_encryption_with_LUKS

上文没有出现的参考文章

• systemd-cryptenroll
• Unlocking LUKS2 volumes with TPM2, FIDO2, PKCS#11 Security Hardware on systemd 248
• [linux]基于安全启动和TPM的根分区/全硬盘加密
• 用 dm-crypt 加密一下 Parabola
• systemd-boot 从安装到吃电脑（误