Fórum Root.cz
Hlavní témata => Distribuce => Téma založeno: martin.maly 27. 03. 2025, 22:37:56
-
Dobry den,
snazim se nainstalovat Linux Mint na novy Dell Precision. Omlouvam se, ze pisu bez diakritiky, pisu z LiveUSB. Mam dva disky - na jednom uz je Windows, na druhy si chci nainstalovat Linux Mint na encrypted misto na disku, rad bych mel dual boot. Ale nejak mi to nejde - momentalni vysledek je, ze najede grub a pak to nenabootuje, ale skoci to do busyboxu. Mohli byste mi prosim pomoct? Myslel jsem, ze s Linuxem docela umim, ale to nastaveni sifrovani me dostalo, je to pro me novinka a nejde mi s tim pohnout.
Mel bych vysvetlil, co jsem udelal. Nejdriv jsem ve Windows vypnul BitLocker, rychly start a v biosu(nebo jeho modernejsi obdobe?) jsem vypnul secure boot atd. V LiveUSB jsem vytvoril na disku pro linux nekolik oddilu - vfat pro /boot/efi , /boot (nesifrovany) a / (sifrovany)
Pak jsem Linux Mint nainstaloval s prislusnymi pripojnymi body.
Posilam hromadu logu po chrootnuti do systemu:
-
root@mint:/# cryptsetup luksOpen /dev/nvme1n1p3 cryptroot
Enter passphrase for /dev/nvme1n1p3:
root@mint:/# mount /dev/mapper/cryptroot /mnt
root@mint:/# mount /dev/nvme1n1p4 /mnt/boot
root@mint:/# mount --bind /dev /mnt/dev
root@mint:/# mount --bind /proc /mnt/proc
root@mint:/# mount --bind /sys /mnt/sys
root@mint:/# mount --bind /run /mnt/run
root@mint:/# chroot /mnt
lsblk; blkid; fdisk -l
root@mint:/# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 2.3G 1 loop
sda 8:0 1 58.6G 0 disk
├─sda1 8:1 1 2.7G 0 part
├─sda2 8:2 1 5M 0 part
└─sda3 8:3 1 55.9G 0 part
nvme1n1 259:0 0 1.9T 0 disk
├─nvme1n1p1 259:1 0 128M 0 part
├─nvme1n1p2 259:2 0 500M 0 part
├─nvme1n1p3 259:3 0 1.9T 0 part
│ └─cryptroot 252:0 0 1.9T 0 crypt /
└─nvme1n1p4 259:4 0 1.5G 0 part /boot
nvme0n1 259:5 0 1.9T 0 disk
├─nvme0n1p1 259:6 0 200M 0 part
├─nvme0n1p2 259:7 0 128M 0 part
├─nvme0n1p3 259:8 0 1.9T 0 part
├─nvme0n1p4 259:9 0 990M 0 part
└─nvme0n1p5 259:10 0 1.5G 0 part
root@mint:/# blkid
/dev/nvme0n1p1: LABEL="ESP" UUID="62DB-5ACD" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="EFI system partition" PARTUUID="46223a33-015c-4db6-b777-1ac91b2400cc"
/dev/nvme0n1p3: LABEL="OS" BLOCK_SIZE="512" UUID="F42ADD772ADD36F8" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="a1a3515a-eafd-4a92-95e8-c5d944a60cfc"
/dev/nvme0n1p4: LABEL="WINRETOOLS" BLOCK_SIZE="512" UUID="B280A05F80A02BB3" TYPE="ntfs" PARTUUID="0dc2485e-64c8-4c15-a2ab-81cf64318895"
/dev/nvme0n1p5: LABEL="DELLSUPPORT" BLOCK_SIZE="512" UUID="B65C9AB95C9A73B9" TYPE="ntfs" PARTUUID="1fb5cd1f-2b42-42c5-abe3-a44b95bc07da"
/dev/nvme1n1p2: UUID="50BD-0E69" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="Basic data partition" PARTUUID="2fbe27f1-1445-4909-a9e9-1a140903664f"
/dev/nvme1n1p4: UUID="2b24c6e3-0526-4351-9fb6-5f5f79217bec" BLOCK_SIZE="4096" TYPE="ext4" PARTUUID="51d30eac-33be-44fa-b409-8c346a4f61e1"
/dev/sda1: BLOCK_SIZE="2048" UUID="2025-01-10-14-57-02-00" LABEL="Linux Mint 22.1 Xfce 64-bit" TYPE="iso9660" PARTUUID="2e213007-01"
/dev/nvme0n1p2: PARTLABEL="Microsoft reserved partition" PARTUUID="c5c1b861-34df-4ee3-af0d-fa59af5f531e"
/dev/loop0: BLOCK_SIZE="131072" TYPE="squashfs"
/dev/mapper/cryptroot: UUID="0088bfad-89a4-4629-af37-d9b81a4aade2" BLOCK_SIZE="4096" TYPE="ext4"
/dev/nvme1n1p3: UUID="0be2ea99-0791-47f8-83d9-3d4e65d0361a" TYPE="crypto_LUKS" PARTUUID="36263761-0286-493c-be3f-e08f9d8cbee0"
/dev/nvme1n1p1: PARTLABEL="Microsoft reserved partition" PARTUUID="15b29e4b-35dd-445a-9802-6aec8ccf5e39"
/dev/sda2: SEC_TYPE="msdos" UUID="6781-353E" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="2e213007-02"
/dev/sda3: LABEL="writable" UUID="68ec7ae1-07c3-4fcc-87e9-324235ba86d7" BLOCK_SIZE="4096" TYPE="ext4" PARTUUID="2e213007-03"
root@mint:/# fdisk -l
Disk /dev/loop0: 2.27 GiB, 2440761344 bytes, 4767112 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk /dev/nvme1n1: 1.86 TiB, 2048408248320 bytes, 4000797360 sectors
Disk model: PC811 SK hynix 2048GB
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 62DEFA29-62A0-4375-BDB0-06FEA73DF3DF
Device Start End Sectors Size Type
/dev/nvme1n1p1 2048 264191 262144 128M Microsoft reserved
/dev/nvme1n1p2 264192 1288191 1024000 500M EFI System
/dev/nvme1n1p3 4360192 4000796671 3996436480 1.9T unknown
/dev/nvme1n1p4 1288192 4360191 3072000 1.5G Linux filesystem
Partition table entries are not in disk order.
Disk /dev/nvme0n1: 1.86 TiB, 2048408248320 bytes, 4000797360 sectors
Disk model: PC811 SK hynix 2048GB
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: F9310264-3D61-4509-89C6-CB4629827AF0
Device Start End Sectors Size Type
/dev/nvme0n1p1 2048 411647 409600 200M EFI System
/dev/nvme0n1p2 411648 673791 262144 128M Microsoft reserved
/dev/nvme0n1p3 673792 3995672575 3994998784 1.9T Microsoft basic data
/dev/nvme0n1p4 3995672576 3997700095 2027520 990M Windows recovery environment
/dev/nvme0n1p5 3997702144 4000776191 3074048 1.5G Windows recovery environment
Disk /dev/sda: 58.57 GiB, 62889394176 bytes, 122830848 sectors
Disk model: Cruzer Dial
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x2e213007
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 64 5636095 5636032 2.7G 0 Empty
/dev/sda2 8460 18699 10240 5M ef EFI (FAT-12/16/32)
/dev/sda3 5636096 122830847 117194752 55.9G 83 Linux
Disk /dev/mapper/cryptroot: 1.86 TiB, 2046158700544 bytes, 3996403712 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
root@mint:/# ls /boot/
System.map-6.8.0-51-generic efi/ initrd.img initrd.img.old vmlinuz
config-6.8.0-51-generic grub/ initrd.img-6.8.0-51-generic lost+found/ vmlinuz-6.8.0-51-generic
root@mint:/# ls /boot/efi/
root@mint:/# ls /boot/grub/
fonts gfxblacklist.txt grub.cfg grubenv locale unicode.pf2 x86_64-efi
root@mint:/# cat /etc/crypttab
nvme0n1p3_crypt UUID=0be2ea99-0791-47f8-83d9-3d4e65d0361a none luks,discard
root@mint:/# cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/nvme0n1p3_crypt / ext4 errors=remount-ro 0 1
# /boot was on /dev/nvme0n1p4 during installation
UUID=2b24c6e3-0526-4351-9fb6-5f5f79217bec /boot ext4 defaults 0 2
# /boot/efi was on /dev/nvme0n1p2 during installation
UUID=50BD-0E69 /boot/efi vfat umask=0077 0 1
root@mint:/# cat /etc/cryptsetup-initramfs/conf-hook
#
# Configuration file for the cryptroot initramfs hook.
#
#
# KEYFILE_PATTERN: ...
#
# The value of this variable is interpreted as a shell pattern.
# Matching key files from the crypttab(5) are included in the initramfs
# image. The associated devices can then be unlocked without manual
# intervention. (For instance if /etc/crypttab lists two key files
# /etc/keys/{root,swap}.key, you can set KEYFILE_PATTERN="/etc/keys/*.key"
# to add them to the initrd.)
#
# If KEYFILE_PATTERN if null or unset (default) then no key file is
# copied to the initramfs image.
#
# Note that the glob(7) is not expanded for crypttab(5) entries with a
# 'keyscript=' option. In that case, the field is not treated as a file
# name but given as argument to the keyscript.
#
# WARNING:
# * If the initramfs image is to include private key material, you'll
# want to create it with a restrictive umask in order to keep
# non-privileged users at bay. For instance, set UMASK=0077 in
# /etc/initramfs-tools/initramfs.conf
# * If you use cryptsetup-suspend, private key material inside the
# initramfs will be in memory during suspend period, defeating the
# purpose of cryptsetup-suspend.
#
#KEYFILE_PATTERN=
#
# ASKPASS: [ y | n ]
#
# Whether to include the askpass binary to the initramfs image. askpass
# is required for interactive passphrase prompts, and ASKPASS=y (the
# default) is implied when the hook detects that same device needs to be
# unlocked interactively (i.e., not via keyfile nor keyscript) at
# initramfs stage. Setting ASKPASS=n also skips `cryptroot-unlock`
# inclusion as it requires the askpass executable.
ASKPASS=y
CRYPTSETUP=y
root@mint:/# cat /etc/cryptsetup-initramfs/cryptroot.conf
target=nvme0n1p3_crypt
source=0be2ea99-0791-47f8-83d9-3d4e65d0361a
-
root@mint:/# cat /boot/grub/grub.cfg
#
# DO NOT EDIT THIS FILE
#
# It is automatically generated by grub-mkconfig using templates
# from /etc/grub.d and settings from /etc/default/grub
#
### BEGIN /etc/grub.d/00_header ###
if [ -s $prefix/grubenv ]; then
set have_grubenv=true
load_env
fi
if [ "${initrdfail}" = 2 ]; then
set initrdfail=
elif [ "${initrdfail}" = 1 ]; then
set next_entry="${prev_entry}"
set prev_entry=
save_env prev_entry
if [ "${next_entry}" ]; then
set initrdfail=2
fi
fi
if [ "${next_entry}" ] ; then
set default="${next_entry}"
set next_entry=
save_env next_entry
set boot_once=true
else
set default="0"
fi
if [ x"${feature_menuentry_id}" = xy ]; then
menuentry_id_option="--id"
else
menuentry_id_option=""
fi
export menuentry_id_option
if [ "${prev_saved_entry}" ]; then
set saved_entry="${prev_saved_entry}"
save_env saved_entry
set prev_saved_entry=
save_env prev_saved_entry
set boot_once=true
fi
function savedefault {
if [ -z "${boot_once}" ]; then
saved_entry="${chosen}"
save_env saved_entry
fi
}
function initrdfail {
if [ -n "${have_grubenv}" ]; then if [ -n "${partuuid}" ]; then
if [ -z "${initrdfail}" ]; then
set initrdfail=1
if [ -n "${boot_once}" ]; then
set prev_entry="${default}"
save_env prev_entry
fi
fi
save_env initrdfail
fi; fi
}
function recordfail {
set recordfail=1
if [ -n "${have_grubenv}" ]; then if [ -z "${boot_once}" ]; then save_env recordfail; fi; fi
}
function load_video {
if [ x$feature_all_video_module = xy ]; then
insmod all_video
else
insmod efi_gop
insmod efi_uga
insmod ieee1275_fb
insmod vbe
insmod vga
insmod video_bochs
insmod video_cirrus
fi
}
if [ x$feature_default_font_path = xy ] ; then
font=unicode
else
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
font="/grub/unicode.pf2"
fi
if loadfont $font ; then
set gfxmode=auto
load_video
insmod gfxterm
set locale_dir=$prefix/locale
set lang=en_GB
insmod gettext
fi
terminal_output gfxterm
if [ "${recordfail}" = 1 ] ; then
set timeout=30
else
if [ x$feature_timeout_style = xy ] ; then
set timeout_style=hidden
set timeout=10
# Fallback hidden-timeout code in case the timeout_style feature is
# unavailable.
elif sleep --interruptible 10 ; then
set timeout=0
fi
fi
### END /etc/grub.d/00_header ###
### BEGIN /etc/grub.d/05_debian_theme ###
set menu_color_normal=white/black
set menu_color_highlight=black/light-gray
### END /etc/grub.d/05_debian_theme ###
### BEGIN /etc/grub.d/10_linux ###
function gfxmode {
set gfxpayload="${1}"
if [ "${1}" = "keep" ]; then
set vt_handoff=vt.handoff=7
else
set vt_handoff=
fi
}
if [ "${recordfail}" != 1 ]; then
if [ -e ${prefix}/gfxblacklist.txt ]; then
if [ ${grub_platform} != pc ]; then
set linux_gfx_mode=keep
elif hwmatch ${prefix}/gfxblacklist.txt 3; then
if [ ${match} = 0 ]; then
set linux_gfx_mode=keep
else
set linux_gfx_mode=text
fi
else
set linux_gfx_mode=text
fi
else
set linux_gfx_mode=keep
fi
else
set linux_gfx_mode=text
fi
export linux_gfx_mode
menuentry 'Linux Mint 22.1 Xfce' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
gfxmode $linux_gfx_mode
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro quiet splash
initrd /initrd.img-6.8.0-51-generic
}
submenu 'Advanced options for Linux Mint 22.1 Xfce' $menuentry_id_option 'gnulinux-advanced-0088bfad-89a4-4629-af37-d9b81a4aade2' {
menuentry 'Linux Mint 22.1 Xfce, with Linux 6.8.0-51-generic' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-6.8.0-51-generic-advanced-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
gfxmode $linux_gfx_mode
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
echo 'Loading Linux 6.8.0-51-generic ...'
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro quiet splash
echo 'Loading initial ramdisk ...'
initrd /initrd.img-6.8.0-51-generic
}
menuentry 'Linux Mint 22.1 Xfce, with Linux 6.8.0-51-generic (recovery mode)' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-6.8.0-51-generic-recovery-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
echo 'Loading Linux 6.8.0-51-generic ...'
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro recovery nomodeset dis_ucode_ldr
echo 'Loading initial ramdisk ...'
initrd /initrd.img-6.8.0-51-generic
}
}
### END /etc/grub.d/10_linux ###
### BEGIN /etc/grub.d/10_linux_zfs ###
### END /etc/grub.d/10_linux_zfs ###
### BEGIN /etc/grub.d/20_linux_xen ###
### END /etc/grub.d/20_linux_xen ###
### BEGIN /etc/grub.d/25_bli ###
if [ "$grub_platform" = "efi" ]; then
insmod bli
fi
### END /etc/grub.d/25_bli ###
### BEGIN /etc/grub.d/30_os-prober ###
menuentry 'Windows Boot Manager (on /dev/nvme1n1p1)' --class windows --class os $menuentry_id_option 'osprober-efi-62DB-5ACD' {
insmod part_gpt
insmod fat
search --no-floppy --fs-uuid --set=root 62DB-5ACD
chainloader /efi/Microsoft/Boot/bootmgfw.efi
}
set timeout_style=menu
if [ "${timeout}" = 0 ]; then
set timeout=10
fi
### END /etc/grub.d/30_os-prober ###
### BEGIN /etc/grub.d/30_uefi-firmware ###
if [ "$grub_platform" = "efi" ]; then
fwsetup --is-supported
if [ "$?" = 0 ]; then
menuentry 'UEFI Firmware Settings' $menuentry_id_option 'uefi-firmware' {
fwsetup
}
fi
fi
### END /etc/grub.d/30_uefi-firmware ###
### BEGIN /etc/grub.d/35_fwupd ###
### END /etc/grub.d/35_fwupd ###
### BEGIN /etc/grub.d/40_custom ###
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.
### END /etc/grub.d/40_custom ###
### BEGIN /etc/grub.d/41_custom ###
if [ -f ${config_directory}/custom.cfg ]; then
source ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefix/custom.cfg ]; then
source $prefix/custom.cfg
fi
### END /etc/grub.d/41_custom ###
root@mint:/# cat /etc/default/grub
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
# info -f grub -n 'Simple configuration'
GRUB_DEFAULT=0
GRUB_TIMEOUT_STYLE=hidden
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`( . /etc/os-release; echo ${NAME:-Ubuntu} ) 2>/dev/null || echo Ubuntu`
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
GRUB_CMDLINE_LINUX=""
# If your computer has multiple operating systems installed, then you
# probably want to run os-prober. However, if your computer is a host
# for guest OSes installed via LVM or raw disk devices, running
# os-prober can cause damage to those guest OSes as it mounts
# filesystems to look for things.
#GRUB_DISABLE_OS_PROBER=false
# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"
# Uncomment to disable graphical terminal
#GRUB_TERMINAL=console
# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480
# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true
# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"
# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"
root@mint:/# cat /etc/default/grub.ucf-dist
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
# info -f grub -n 'Simple configuration'
GRUB_DEFAULT=0
GRUB_TIMEOUT_STYLE=hidden
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`( . /etc/os-release; echo ${NAME:-Ubuntu} ) 2>/dev/null || echo Ubuntu`
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
GRUB_CMDLINE_LINUX=""
# If your computer has multiple operating systems installed, then you
# probably want to run os-prober. However, if your computer is a host
# for guest OSes installed via LVM or raw disk devices, running
# os-prober can cause damage to those guest OSes as it mounts
# filesystems to look for things.
#GRUB_DISABLE_OS_PROBER=false
# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"
# Uncomment to disable graphical terminal
#GRUB_TERMINAL=console
# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480
# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true
# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"
# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"
root@mint:/# cat /etc/default/grub.d/50_linuxmint.cfg
#! /bin/sh
set -e
# Set distributor to "Ubuntu"
#
# In Mint 16:
# shim and grub come with hardcoded ubuntu strings upstream, without this EFI installation is broken
# https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/1242417
#
# In Mint 17:
# Despite the bug report being marked as fixed, the situation is the same. Grub was patched by Ubuntu
# to assign the "ubuntu" distributor ID when it was given "Kubuntu". That results in Kubuntu finally
# getting EFI to work out of the box but still using "ubuntu" as far as grub-install is concerned.
# So we'll stick to "Ubuntu" for this iteration.
#
# In Mint 18:
# Some packages are still hardcoded with the "ubuntu" path.. fwupdate for instance.
# Visually, the grub boot menuentry name is set for derivatives in 10_linux,
# but underneath the EFI path remains "ubuntu" for everything to work properly.
GRUB_DISTRIBUTOR="Ubuntu"
# Re-enable OS Prober
# Since Mint 21
# https://lists.gnu.org/archive/html/grub-devel/2021-03/msg00120.html
GRUB_DISABLE_OS_PROBER=false
root@mint:/# cat /etc/initramfs-tools/initramfs.conf
#
# initramfs.conf
# Configuration file for mkinitramfs(8). See initramfs.conf(5).
#
# Note that configuration options from this file can be overridden
# by config files in the /etc/initramfs-tools/conf.d directory.
#
# MODULES: [ most | netboot | dep | list ]
#
# most - Add most filesystem and all harddrive drivers.
#
# dep - Try and guess which modules to load.
#
# netboot - Add the base modules, network modules, but skip block devices.
#
# list - Only include modules from the 'additional modules' list
#
MODULES=most
#
# BUSYBOX: [ y | n | auto ]
#
# Use busybox shell and utilities. If set to n, klibc utilities will be used.
# If set to auto (or unset), busybox will be used if installed and klibc will
# be used otherwise.
#
BUSYBOX=auto
#
# COMPRESS: [ gzip | bzip2 | lz4 | lzma | lzop | xz | zstd ]
#
COMPRESS=zstd
#
# COMPRESSLEVEL: ...
#
# Set a compression level for the compressor.
# Defaults vary by compressor.
#
# Valid values are:
# 1 - 9 for gzip|bzip2|lzma|lzop
# 0 - 9 for lz4|xz
# 0 - 19 for zstd
#
# COMPRESSLEVEL=1
#
# DEVICE: ...
#
# Specify a specific network interface, like eth0
# Overridden by optional ip= or BOOTIF= bootarg
#
DEVICE=
#
# NFSROOT: [ auto | HOST:MOUNT ]
#
NFSROOT=auto
#
# RUNSIZE: ...
#
# The size of the /run tmpfs mount point, like 256M or 10%
# Overridden by optional initramfs.runsize= bootarg
#
RUNSIZE=10%
#
# FSTYPE: ...
#
# The filesystem type(s) to support, or "auto" to use the current root
# filesystem type
#
FSTYPE=auto
root@mint:/# cat /etc/initramfs-tools/conf.d/cryptsetup
# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=yes
export CRYPTSETUP
root@mint:/# cat /etc/initramfs-tools/update-initramfs.conf
#
# Configuration file for update-initramfs(8)
#
#
# update_initramfs [ yes | all | no ]
#
# Default is yes
# If set to all update-initramfs will update all initramfs
# If set to no disables any update to initramfs beside kernel upgrade
update_initramfs=yes
#
# backup_initramfs [ yes | no ]
#
# Default is no
# If set to no leaves no .bak backup files.
backup_initramfs=no
-
Zapomnel jsem zminit, ze jde o Linux Mint 22.1 Xfce, myslim, ze je postaveny na Ubuntu 24.04.
root@mint:/# ls /etc/systemd/system
bluetooth.target.wants dbus-org.freedesktop.thermald.service graphical.target.wants paths.target.wants sysinit.target.wants
dbus-fi.w1.wpa_supplicant1.service dbus-org.freedesktop.timesync1.service hibernate.target.wants printer.target.wants syslog.service
dbus-org.bluez.service display-manager.service hybrid-sleep.target.wants rescue.target.wants timers.target.wants
dbus-org.freedesktop.Avahi.service display-manager.service.wants mdmonitor.service.wants sleep.target.wants
dbus-org.freedesktop.ModemManager1.service emergency.target.wants multi-user.target.wants sockets.target.wants
dbus-org.freedesktop.nm-dispatcher.service final.target.wants network-online.target.wants suspend-then-hibernate.target.wants
dbus-org.freedesktop.resolve1.service getty.target.wants oem-config.service.wants suspend.target.wants
-
Ten drop do busyboxu je jeste pred zadanim hesla na rozsifrovani disku?
Je mi podezrele, ze se grub shani po UUID, ktere ma byt k dispozici az po rozsifrovani.
Instaluju takto Ubuntu bezne, akorat bez dualbootu Windows. Vetsina kroku je shodna s Vasim postupem - zjednodusene:
1) /dev/sda1 /boot nesifrovany, /dev/sda2 cryptsetup luksFormat
2) cryptsetup luksOpen /dev/sda2 crypt_root
3) instalace / na /dev/mapper/crypt_root
4) chroot do nainstalovaneho systemu
5) uprava /etc/crypttab (nepouzivam UUID, ale rovnou /dev/sda2)
6) uprava /etc/fstab = /dev/mapper/crypt_root /
7) do /etc/cryptsetup-initramfs vubec nesaham, jen v chrootu jeste pred rebootem update-initramfs -u
8 ) grub-install /dev/sda a reboot
-
nejsem si jistej kde si vzal /etc/cryptsetup-initramfs/cryptroot.conf , ale v *buntu ho nepouzivam...
update-initramfs zakomponuje podporu cryptsetup v pripade ze aktualne odemcenej luks nazev najde v /etc/crypttab,
- a v tvem vidim "nvme0n1p3_crypt"
- ale odemykals to pod nazvem "cryptroot"
-
Mně se nezdá to rozdělení disku... I první screenshot říká, že je špatně EFI.
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 64 5636095 5636032 2.7G 0 Empty
/dev/sda2 8460 18699 10240 5M ef EFI (FAT-12/16/32)
/dev/sda3 5636096 122830847 117194752 55.9G 83 Linux
sda1 má boot flag, měla by to být EFI partition; EFI by měla mít o trochu víc, než jenom 5MB, 100-500 MB stačí
sda2 udělej nešifrovanej /boot
sda3 luks
-
Já bych začal od začátku a vzhledem k dualbootu s Windows by mě zajímalo zda chce tazatel vybírat OS v rámci bootloaderu (GRUB) nebo v rámci UEFI (klávesa F12 po spuštění PC).
V PC jsou 2 nvme disky. nvme1n1 je vyčleněn pro Linux a nvme0n1 pro Windows.
Od toho bych se odpíchnul dál...
-
Děkuji moc za nápady, o víkendu je vyzkouším.
Ten drop do busyboxu je jeste pred zadanim hesla na rozsifrovani disku?
Ano - takže se nedivím, že se mi nedaří nabootovat...
Mně se nezdá to rozdělení disku... I první screenshot říká, že je špatně EFI.
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 64 5636095 5636032 2.7G 0 Empty
/dev/sda2 8460 18699 10240 5M ef EFI (FAT-12/16/32)
/dev/sda3 5636096 122830847 117194752 55.9G 83 Linux
/dev/sda je LiveUSB, není třeba ho brát v úvahu.
nejsem si jistej kde si vzal /etc/cryptsetup-initramfs/cryptroot.conf , ale v *buntu ho nepouzivam...
update-initramfs zakomponuje podporu cryptsetup v pripade ze aktualne odemcenej luks nazev najde v /etc/crypttab,
- a v tvem vidim "nvme0n1p3_crypt"
- ale odemykals to pod nazvem "cryptroot"
Ten jsem tam asi přidal já sám manuálně při jednom ze svých pokusů to rozběhnout.
Zdá se, že mi nesouhlasí "nvme0n1p3_crypt" a "cryptroot", to může být příčina toho problému.
Já bych začal od začátku a vzhledem k dualbootu s Windows by mě zajímalo zda chce tazatel vybírat OS v rámci bootloaderu (GRUB) nebo v rámci UEFI (klávesa F12 po spuštění PC).
Je mi to vlastně jedno. Lehce preferuji GRUB. Na minulém počítači jsem podobný setup (dva disky, jeden pro Windows a druhý pro Linux, ale tehdy bez šifrování) a nainstaloval jsem to tak, že při zapínání počítače najel GRUB a mohl jsem si vybrat, jestli chci nabootoval Linux, nebo Windows.
-
Vážení, díky moc, díky vám jsem to pochopil a nabootoval!
Shrnutí, co jsem (asi) dělal špatně:
Odemykal jsem oddíl pro / v LiveUSB pod jiným názvem než byl v /etc/crypttab
Měl jsem z předešlých zoufalých pokusů navíc soubor /etc/cryptsetup-initramfs/cryptroot.conf , který byl k ničemu.
Celou situaci ještě komplikuje fakt, že moje dva disky /dev/nvme0n1 a /dev/nvme1n1 si (náhodně?) mění označení. Když jsem nabootoval do LiveUSB, označení bylo prohozené oproti tomu, jak to bylo nastavené v /etc/fstab opravovaného počítače...
Takže shrnutí:
Nabootoval jsem do LiveUSB, live systém si myslel, že /dev/nvme0n1 je pro Windows a /dev/nvme1n1 pro Linux.
Odemknul jsem /dev/nvme1n1p3 (označení v live systému) jako nvme0n1p3_crypt (to jsem dělal předtím špatně). Držel jsem se nvme0n1p3_crypt zuby nehty.
Namountoval jsem /dev/mapper/nvme0n1p3_crypt do /mnt
Namountoval jsem /dev/nvme1n1p4 do /mnt/boot
Udělal jsem mount --bind pro /dev /proc /sys /run a provedl chroot do /mnt
Přejmenoval jsem /etc/cryptsetup-initramfs/cryptroot.conf, abych se ho zbavil.
Zkontroloval jsem /etc/crypttab a zjistil, že je definice / oddílu pomocí UUID v totožná s tím, co vypisuje blkid. Soubor byl v pořádku. Na mém stroji se zdá být lepší to definovat pomocí UUID než /dev/nvme?n1p3, protože číslování disků může záviset na náladě počítače, jak se vzbudí
Zkontroloval jsem /etc/fstab - soubor byl v pořádku.
update-initramfs -u
Uvnitř chrootu jsem namountoval /dev/nvme1n1p4 jako /boot/efi
grub-install /dev/nvme1n1
Nyní se mi při startu počítače ukáže grub, pak se mě zeptá na heslo pro dešifrování a systém najede. :-)
Díky moc!
-
A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.
Naposledy u mého Lubuntu 18.04.
Po zapnutí PC najel GRUB, když jste chtěl, vybral jste třeba Linux, zeptalo se to na heslo k disku a bylo.
Když jste neudělal nic, tak najely například Windows či cokoli, co jste měl předvolené a běžný uživatel ani netušil, že v tom PC je i něco jiného než Windows.
Pak někdo usoudil, že to je asi málo bezpečné a ne že by přidal další možnost - zašifrovat i boot, dal to při instalaci jako možnost jedinou.
Takže po zapnutí PC najede něco jako příkazový řádek, kdy ani nevidíte, jestli něco píšete ( super třeba při vypnuté numerické klávesnici ) a až po zadání hesla můžete zvolit spuštění jiného systému.
Třeba z disku, který vůbec zašifrovaný není.
Logika jak hrom.
Já mám navíc tu bezpečnost nechtěně dotaženou do dokonalosti tím, že z neznámého důvodu mi po zadání hesla sice najede grub menu, ale pokud nenajedu do Advancece options nezvolím jádro ( nebo co to je ) max. verze 113, tak start systému končí hláškou cryptsetupu o vyčerpání počtu pokusů nebo tak něco.
Takže můj systém by asi nikdo nespustil i se znalostí správného hesla k disku :o)
-
A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.
Pokrok nezastavíš. ;D :P
-
A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.
Naposledy u mého Lubuntu 18.04.
Po zapnutí PC najel GRUB, když jste chtěl, vybral jste třeba Linux, zeptalo se to na heslo k disku a bylo.
Nejsem si jistej v ktery situaci, ktery instalator jako verze *buntu nebo Mintu to tak dela, ale predstav si ze ja uz X let instaluju *buntu tak ze si nejdriv umyslne pripravim sifrovanej disk vcetne bootu, celkem komplikovanou cestou prave protoze ze to instalator z nepochopitelneho duvodu neumel ;-)
Pak někdo usoudil, že to je asi málo bezpečné a ne že by přidal další možnost - zašifrovat i boot, dal to při instalaci jako možnost jedinou.
Takže po zapnutí PC najede něco jako příkazový řádek, kdy ani nevidíte, jestli něco píšete ( super třeba při vypnuté numerické klávesnici ) a až po zadání hesla můžete zvolit spuštění jiného systému.
Třeba z disku, který vůbec zašifrovaný není.
Logika jak hrom.
Prave ze logicke to je...
- s nesifrovanym boot, ma pripadny utocnik s fyzickym pristupem snadno dostupny tvuj initramfs do ktereho ti prida keyloger co tve LUKS heslo priste odchytne a posle si ho
- pokud mas dualboot a pouzivas bootloader menu z zasifrovaneho disku, tak se pta na heslo pred zobrazenim menu i pro pripadnej start nesifrovaneho OS, jako tady je pravda ze by asi technicky slo resit aby menu bylo v EFI a teprve po vybrani polozky se sifrovanym systemem se cryptsetup modul Grubu zeptal na heslo k LUKS a az nasledne by z sifrovaneho boot nacetl jadro a initramfs, na druhou stranu nikdo ti nebrani abys mel v EFI vybran zavadec pro tvuj primarni system (at uz to je Windows nebo sifrovanej ci nesifrovanej Linux) a pro start do jineho si zmackl F12 (ci hotkey tve desky pro BootMenu) kde vybral zavadec toho jineho OS, tedy v pripade primarniho Grubu pro sifrovany Linux, pres F12 vyberes Windows a startujes rovnou Widnows pres jejich bootloader primo, naprosto mimo Grub
Já mám navíc tu bezpečnost nechtěně dotaženou do dokonalosti tím, že z neznámého důvodu mi po zadání hesla sice najede grub menu, ale pokud nenajedu do Advancece options nezvolím jádro ( nebo co to je ) max. verze 113, tak start systému končí hláškou cryptsetupu o vyčerpání počtu pokusů nebo tak něco.
Tak asi mas neco podelane u novejsich "jader" resp. jejich initramfs, pripadne mozna nejaky bug...