Instalace Linux Mint na šifrovaný oddíl

[martin.maly]

Dobry den,

snazim se nainstalovat Linux Mint na novy Dell Precision. Omlouvam se, ze pisu bez diakritiky, pisu z LiveUSB. Mam dva disky - na jednom uz je Windows, na druhy si chci nainstalovat Linux Mint na encrypted misto na disku, rad bych mel dual boot. Ale nejak mi to nejde - momentalni vysledek je, ze najede grub a pak to nenabootuje, ale skoci to do busyboxu. Mohli byste mi prosim pomoct? Myslel jsem, ze s Linuxem docela umim, ale to nastaveni sifrovani me dostalo, je to pro me novinka a nejde mi s tim pohnout.

Mel bych vysvetlil, co jsem udelal. Nejdriv jsem ve Windows vypnul BitLocker, rychly start a v biosu(nebo jeho modernejsi obdobe?) jsem vypnul secure boot atd. V LiveUSB jsem vytvoril na disku pro linux nekolik oddilu - vfat pro /boot/efi , /boot (nesifrovany) a / (sifrovany)
Pak jsem Linux Mint nainstaloval s prislusnymi pripojnymi body.

Posilam hromadu logu po chrootnuti do systemu:

[Reklama]

[martin.maly]

Kód: [Vybrat]

root@mint:/# cryptsetup luksOpen /dev/nvme1n1p3 cryptroot
Enter passphrase for /dev/nvme1n1p3:
root@mint:/# mount /dev/mapper/cryptroot /mnt
root@mint:/# mount /dev/nvme1n1p4 /mnt/boot
root@mint:/# mount --bind /dev /mnt/dev
root@mint:/# mount --bind /proc /mnt/proc
root@mint:/# mount --bind /sys /mnt/sys
root@mint:/# mount --bind /run /mnt/run
root@mint:/# chroot /mnt
lsblk; blkid; fdisk -l

Kód: [Vybrat]

root@mint:/# lsblk
NAME          MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
loop0           7:0    0  2.3G  1 loop 
sda             8:0    1 58.6G  0 disk 
├─sda1          8:1    1  2.7G  0 part 
├─sda2          8:2    1    5M  0 part 
└─sda3          8:3    1 55.9G  0 part 
nvme1n1       259:0    0  1.9T  0 disk 
├─nvme1n1p1   259:1    0  128M  0 part 
├─nvme1n1p2   259:2    0  500M  0 part 
├─nvme1n1p3   259:3    0  1.9T  0 part 
│ └─cryptroot 252:0    0  1.9T  0 crypt /
└─nvme1n1p4   259:4    0  1.5G  0 part  /boot
nvme0n1       259:5    0  1.9T  0 disk 
├─nvme0n1p1   259:6    0  200M  0 part 
├─nvme0n1p2   259:7    0  128M  0 part 
├─nvme0n1p3   259:8    0  1.9T  0 part 
├─nvme0n1p4   259:9    0  990M  0 part 
└─nvme0n1p5   259:10   0  1.5G  0 part 
root@mint:/# blkid
/dev/nvme0n1p1: LABEL="ESP" UUID="62DB-5ACD" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="EFI system partition" PARTUUID="46223a33-015c-4db6-b777-1ac91b2400cc"
/dev/nvme0n1p3: LABEL="OS" BLOCK_SIZE="512" UUID="F42ADD772ADD36F8" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="a1a3515a-eafd-4a92-95e8-c5d944a60cfc"
/dev/nvme0n1p4: LABEL="WINRETOOLS" BLOCK_SIZE="512" UUID="B280A05F80A02BB3" TYPE="ntfs" PARTUUID="0dc2485e-64c8-4c15-a2ab-81cf64318895"
/dev/nvme0n1p5: LABEL="DELLSUPPORT" BLOCK_SIZE="512" UUID="B65C9AB95C9A73B9" TYPE="ntfs" PARTUUID="1fb5cd1f-2b42-42c5-abe3-a44b95bc07da"
/dev/nvme1n1p2: UUID="50BD-0E69" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="Basic data partition" PARTUUID="2fbe27f1-1445-4909-a9e9-1a140903664f"
/dev/nvme1n1p4: UUID="2b24c6e3-0526-4351-9fb6-5f5f79217bec" BLOCK_SIZE="4096" TYPE="ext4" PARTUUID="51d30eac-33be-44fa-b409-8c346a4f61e1"
/dev/sda1: BLOCK_SIZE="2048" UUID="2025-01-10-14-57-02-00" LABEL="Linux Mint 22.1 Xfce 64-bit" TYPE="iso9660" PARTUUID="2e213007-01"
/dev/nvme0n1p2: PARTLABEL="Microsoft reserved partition" PARTUUID="c5c1b861-34df-4ee3-af0d-fa59af5f531e"
/dev/loop0: BLOCK_SIZE="131072" TYPE="squashfs"
/dev/mapper/cryptroot: UUID="0088bfad-89a4-4629-af37-d9b81a4aade2" BLOCK_SIZE="4096" TYPE="ext4"
/dev/nvme1n1p3: UUID="0be2ea99-0791-47f8-83d9-3d4e65d0361a" TYPE="crypto_LUKS" PARTUUID="36263761-0286-493c-be3f-e08f9d8cbee0"
/dev/nvme1n1p1: PARTLABEL="Microsoft reserved partition" PARTUUID="15b29e4b-35dd-445a-9802-6aec8ccf5e39"
/dev/sda2: SEC_TYPE="msdos" UUID="6781-353E" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="2e213007-02"
/dev/sda3: LABEL="writable" UUID="68ec7ae1-07c3-4fcc-87e9-324235ba86d7" BLOCK_SIZE="4096" TYPE="ext4" PARTUUID="2e213007-03"
root@mint:/# fdisk -l
Disk /dev/loop0: 2.27 GiB, 2440761344 bytes, 4767112 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/nvme1n1: 1.86 TiB, 2048408248320 bytes, 4000797360 sectors
Disk model: PC811 SK hynix 2048GB                   
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 62DEFA29-62A0-4375-BDB0-06FEA73DF3DF

Device           Start        End    Sectors  Size Type
/dev/nvme1n1p1    2048     264191     262144  128M Microsoft reserved
/dev/nvme1n1p2  264192    1288191    1024000  500M EFI System
/dev/nvme1n1p3 4360192 4000796671 3996436480  1.9T unknown
/dev/nvme1n1p4 1288192    4360191    3072000  1.5G Linux filesystem

Partition table entries are not in disk order.


Disk /dev/nvme0n1: 1.86 TiB, 2048408248320 bytes, 4000797360 sectors
Disk model: PC811 SK hynix 2048GB                   
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: F9310264-3D61-4509-89C6-CB4629827AF0

Device              Start        End    Sectors  Size Type
/dev/nvme0n1p1       2048     411647     409600  200M EFI System
/dev/nvme0n1p2     411648     673791     262144  128M Microsoft reserved
/dev/nvme0n1p3     673792 3995672575 3994998784  1.9T Microsoft basic data
/dev/nvme0n1p4 3995672576 3997700095    2027520  990M Windows recovery environment
/dev/nvme0n1p5 3997702144 4000776191    3074048  1.5G Windows recovery environment


Disk /dev/sda: 58.57 GiB, 62889394176 bytes, 122830848 sectors
Disk model: Cruzer Dial     
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x2e213007

Device     Boot   Start       End   Sectors  Size Id Type
/dev/sda1  *         64   5636095   5636032  2.7G  0 Empty
/dev/sda2          8460     18699     10240    5M ef EFI (FAT-12/16/32)
/dev/sda3       5636096 122830847 117194752 55.9G 83 Linux


Disk /dev/mapper/cryptroot: 1.86 TiB, 2046158700544 bytes, 3996403712 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Kód: [Vybrat]

root@mint:/# ls /boot/
System.map-6.8.0-51-generic  efi/                         initrd.img                   initrd.img.old               vmlinuz                     
config-6.8.0-51-generic      grub/                        initrd.img-6.8.0-51-generic  lost+found/                  vmlinuz-6.8.0-51-generic           
root@mint:/# ls /boot/efi/
root@mint:/# ls /boot/grub/
fonts  gfxblacklist.txt  grub.cfg  grubenv  locale  unicode.pf2  x86_64-efi


Kód: [Vybrat]

root@mint:/# cat /etc/crypttab
nvme0n1p3_crypt UUID=0be2ea99-0791-47f8-83d9-3d4e65d0361a none luks,discard


Kód: [Vybrat]

root@mint:/# cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
/dev/mapper/nvme0n1p3_crypt /               ext4    errors=remount-ro 0       1
# /boot was on /dev/nvme0n1p4 during installation
UUID=2b24c6e3-0526-4351-9fb6-5f5f79217bec /boot           ext4    defaults        0       2
# /boot/efi was on /dev/nvme0n1p2 during installation
UUID=50BD-0E69  /boot/efi       vfat    umask=0077      0       1


Kód: [Vybrat]

root@mint:/# cat /etc/cryptsetup-initramfs/conf-hook
#
# Configuration file for the cryptroot initramfs hook.
#

#
# KEYFILE_PATTERN: ...
#
# The value of this variable is interpreted as a shell pattern.
# Matching key files from the crypttab(5) are included in the initramfs
# image.  The associated devices can then be unlocked without manual
# intervention.  (For instance if /etc/crypttab lists two key files
# /etc/keys/{root,swap}.key, you can set KEYFILE_PATTERN="/etc/keys/*.key"
# to add them to the initrd.)
#
# If KEYFILE_PATTERN if null or unset (default) then no key file is
# copied to the initramfs image.
#
# Note that the glob(7) is not expanded for crypttab(5) entries with a
# 'keyscript=' option.  In that case, the field is not treated as a file
# name but given as argument to the keyscript.
#
# WARNING:
# * If the initramfs image is to include private key material, you'll
#   want to create it with a restrictive umask in order to keep
#   non-privileged users at bay.  For instance, set UMASK=0077 in
#   /etc/initramfs-tools/initramfs.conf
# * If you use cryptsetup-suspend, private key material inside the
#   initramfs will be in memory during suspend period, defeating the
#   purpose of cryptsetup-suspend.
#

#KEYFILE_PATTERN=

#
# ASKPASS: [ y | n ]
#
# Whether to include the askpass binary to the initramfs image.  askpass
# is required for interactive passphrase prompts, and ASKPASS=y (the
# default) is implied when the hook detects that same device needs to be
# unlocked interactively (i.e., not via keyfile nor keyscript) at
# initramfs stage.  Setting ASKPASS=n also skips `cryptroot-unlock`
# inclusion as it requires the askpass executable.

ASKPASS=y
CRYPTSETUP=y
root@mint:/# cat /etc/cryptsetup-initramfs/cryptroot.conf
target=nvme0n1p3_crypt
source=0be2ea99-0791-47f8-83d9-3d4e65d0361a

[martin.maly]

Kód: [Vybrat]

root@mint:/# cat /boot/grub/grub.cfg
#
# DO NOT EDIT THIS FILE
#
# It is automatically generated by grub-mkconfig using templates
# from /etc/grub.d and settings from /etc/default/grub
#

### BEGIN /etc/grub.d/00_header ###
if [ -s $prefix/grubenv ]; then
  set have_grubenv=true
  load_env
fi
if [ "${initrdfail}" = 2 ]; then
   set initrdfail=
elif [ "${initrdfail}" = 1 ]; then
   set next_entry="${prev_entry}"
   set prev_entry=
   save_env prev_entry
   if [ "${next_entry}" ]; then
      set initrdfail=2
   fi
fi
if [ "${next_entry}" ] ; then
   set default="${next_entry}"
   set next_entry=
   save_env next_entry
   set boot_once=true
else
   set default="0"
fi

if [ x"${feature_menuentry_id}" = xy ]; then
  menuentry_id_option="--id"
else
  menuentry_id_option=""
fi

export menuentry_id_option

if [ "${prev_saved_entry}" ]; then
  set saved_entry="${prev_saved_entry}"
  save_env saved_entry
  set prev_saved_entry=
  save_env prev_saved_entry
  set boot_once=true
fi

function savedefault {
  if [ -z "${boot_once}" ]; then
    saved_entry="${chosen}"
    save_env saved_entry
  fi
}
function initrdfail {
    if [ -n "${have_grubenv}" ]; then if [ -n "${partuuid}" ]; then
      if [ -z "${initrdfail}" ]; then
        set initrdfail=1
        if [ -n "${boot_once}" ]; then
          set prev_entry="${default}"
          save_env prev_entry
        fi
      fi
      save_env initrdfail
    fi; fi
}
function recordfail {
  set recordfail=1
  if [ -n "${have_grubenv}" ]; then if [ -z "${boot_once}" ]; then save_env recordfail; fi; fi
}
function load_video {
  if [ x$feature_all_video_module = xy ]; then
    insmod all_video
  else
    insmod efi_gop
    insmod efi_uga
    insmod ieee1275_fb
    insmod vbe
    insmod vga
    insmod video_bochs
    insmod video_cirrus
  fi
}

if [ x$feature_default_font_path = xy ] ; then
   font=unicode
else
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
    font="/grub/unicode.pf2"
fi

if loadfont $font ; then
  set gfxmode=auto
  load_video
  insmod gfxterm
  set locale_dir=$prefix/locale
  set lang=en_GB
  insmod gettext
fi
terminal_output gfxterm
if [ "${recordfail}" = 1 ] ; then
  set timeout=30
else
  if [ x$feature_timeout_style = xy ] ; then
    set timeout_style=hidden
    set timeout=10
  # Fallback hidden-timeout code in case the timeout_style feature is
  # unavailable.
  elif sleep --interruptible 10 ; then
    set timeout=0
  fi
fi
### END /etc/grub.d/00_header ###

### BEGIN /etc/grub.d/05_debian_theme ###
set menu_color_normal=white/black
set menu_color_highlight=black/light-gray
### END /etc/grub.d/05_debian_theme ###

### BEGIN /etc/grub.d/10_linux ###
function gfxmode {
set gfxpayload="${1}"
if [ "${1}" = "keep" ]; then
set vt_handoff=vt.handoff=7
else
set vt_handoff=
fi
}
if [ "${recordfail}" != 1 ]; then
  if [ -e ${prefix}/gfxblacklist.txt ]; then
    if [ ${grub_platform} != pc ]; then
      set linux_gfx_mode=keep
    elif hwmatch ${prefix}/gfxblacklist.txt 3; then
      if [ ${match} = 0 ]; then
        set linux_gfx_mode=keep
      else
        set linux_gfx_mode=text
      fi
    else
      set linux_gfx_mode=text
    fi
  else
    set linux_gfx_mode=keep
  fi
else
  set linux_gfx_mode=text
fi
export linux_gfx_mode
menuentry 'Linux Mint 22.1 Xfce' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
gfxmode $linux_gfx_mode
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro  quiet splash
initrd /initrd.img-6.8.0-51-generic
}
submenu 'Advanced options for Linux Mint 22.1 Xfce' $menuentry_id_option 'gnulinux-advanced-0088bfad-89a4-4629-af37-d9b81a4aade2' {
menuentry 'Linux Mint 22.1 Xfce, with Linux 6.8.0-51-generic' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-6.8.0-51-generic-advanced-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
gfxmode $linux_gfx_mode
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
echo 'Loading Linux 6.8.0-51-generic ...'
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro  quiet splash
echo 'Loading initial ramdisk ...'
initrd /initrd.img-6.8.0-51-generic
}
menuentry 'Linux Mint 22.1 Xfce, with Linux 6.8.0-51-generic (recovery mode)' --class linuxmint --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-6.8.0-51-generic-recovery-0088bfad-89a4-4629-af37-d9b81a4aade2' {
recordfail
load_video
insmod gzio
if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
insmod part_gpt
insmod ext2
search --no-floppy --fs-uuid --set=root 2b24c6e3-0526-4351-9fb6-5f5f79217bec
echo 'Loading Linux 6.8.0-51-generic ...'
linux /vmlinuz-6.8.0-51-generic root=UUID=0088bfad-89a4-4629-af37-d9b81a4aade2 ro recovery nomodeset dis_ucode_ldr
echo 'Loading initial ramdisk ...'
initrd /initrd.img-6.8.0-51-generic
}
}

### END /etc/grub.d/10_linux ###

### BEGIN /etc/grub.d/10_linux_zfs ###
### END /etc/grub.d/10_linux_zfs ###

### BEGIN /etc/grub.d/20_linux_xen ###

### END /etc/grub.d/20_linux_xen ###

### BEGIN /etc/grub.d/25_bli ###
if [ "$grub_platform" = "efi" ]; then
  insmod bli
fi
### END /etc/grub.d/25_bli ###

### BEGIN /etc/grub.d/30_os-prober ###
menuentry 'Windows Boot Manager (on /dev/nvme1n1p1)' --class windows --class os $menuentry_id_option 'osprober-efi-62DB-5ACD' {
insmod part_gpt
insmod fat
search --no-floppy --fs-uuid --set=root 62DB-5ACD
chainloader /efi/Microsoft/Boot/bootmgfw.efi
}
set timeout_style=menu
if [ "${timeout}" = 0 ]; then
  set timeout=10
fi
### END /etc/grub.d/30_os-prober ###

### BEGIN /etc/grub.d/30_uefi-firmware ###
if [ "$grub_platform" = "efi" ]; then
fwsetup --is-supported
if [ "$?" = 0 ]; then
menuentry 'UEFI Firmware Settings' $menuentry_id_option 'uefi-firmware' {
fwsetup
}
fi
fi
### END /etc/grub.d/30_uefi-firmware ###

### BEGIN /etc/grub.d/35_fwupd ###
### END /etc/grub.d/35_fwupd ###

### BEGIN /etc/grub.d/40_custom ###
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f  ${config_directory}/custom.cfg ]; then
  source ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f  $prefix/custom.cfg ]; then
  source $prefix/custom.cfg
fi
### END /etc/grub.d/41_custom ###

Kód: [Vybrat]

root@mint:/# cat /etc/default/grub
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
GRUB_TIMEOUT_STYLE=hidden
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`( . /etc/os-release; echo ${NAME:-Ubuntu} ) 2>/dev/null || echo Ubuntu`
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
GRUB_CMDLINE_LINUX=""

# If your computer has multiple operating systems installed, then you
# probably want to run os-prober. However, if your computer is a host
# for guest OSes installed via LVM or raw disk devices, running
# os-prober can cause damage to those guest OSes as it mounts
# filesystems to look for things.
#GRUB_DISABLE_OS_PROBER=false

# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"

# Uncomment to disable graphical terminal
#GRUB_TERMINAL=console

# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true

# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"

# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"


root@mint:/# cat /etc/default/grub.ucf-dist
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
GRUB_TIMEOUT_STYLE=hidden
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`( . /etc/os-release; echo ${NAME:-Ubuntu} ) 2>/dev/null || echo Ubuntu`
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
GRUB_CMDLINE_LINUX=""

# If your computer has multiple operating systems installed, then you
# probably want to run os-prober. However, if your computer is a host
# for guest OSes installed via LVM or raw disk devices, running
# os-prober can cause damage to those guest OSes as it mounts
# filesystems to look for things.
#GRUB_DISABLE_OS_PROBER=false

# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"

# Uncomment to disable graphical terminal
#GRUB_TERMINAL=console

# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true

# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"

# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"

Kód: [Vybrat]

root@mint:/# cat /etc/default/grub.d/50_linuxmint.cfg
#! /bin/sh
set -e

# Set distributor to "Ubuntu"
#
# In Mint 16:
# shim and grub come with hardcoded ubuntu strings upstream, without this EFI installation is broken
# https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/1242417
#
# In Mint 17:
# Despite the bug report being marked as fixed, the situation is the same. Grub was patched by Ubuntu
# to assign the "ubuntu" distributor ID when it was given "Kubuntu". That results in Kubuntu finally
# getting EFI to work out of the box but still using "ubuntu" as far as grub-install is concerned.
# So we'll stick to "Ubuntu" for this iteration.
#
# In Mint 18:
# Some packages are still hardcoded with the "ubuntu" path.. fwupdate for instance.
# Visually, the grub boot menuentry name is set for derivatives in 10_linux,
# but underneath the EFI path remains "ubuntu" for everything to work properly.

GRUB_DISTRIBUTOR="Ubuntu"

# Re-enable OS Prober
# Since Mint 21
# https://lists.gnu.org/archive/html/grub-devel/2021-03/msg00120.html
GRUB_DISABLE_OS_PROBER=false


Kód: [Vybrat]

root@mint:/# cat /etc/initramfs-tools/initramfs.conf
#
# initramfs.conf
# Configuration file for mkinitramfs(8). See initramfs.conf(5).
#
# Note that configuration options from this file can be overridden
# by config files in the /etc/initramfs-tools/conf.d directory.

#
# MODULES: [ most | netboot | dep | list ]
#
# most - Add most filesystem and all harddrive drivers.
#
# dep - Try and guess which modules to load.
#
# netboot - Add the base modules, network modules, but skip block devices.
#
# list - Only include modules from the 'additional modules' list
#

MODULES=most

#
# BUSYBOX: [ y | n | auto ]
#
# Use busybox shell and utilities.  If set to n, klibc utilities will be used.
# If set to auto (or unset), busybox will be used if installed and klibc will
# be used otherwise.
#

BUSYBOX=auto

#
# COMPRESS: [ gzip | bzip2 | lz4 | lzma | lzop | xz | zstd ]
#

COMPRESS=zstd

#
# COMPRESSLEVEL: ...
#
# Set a compression level for the compressor.
# Defaults vary by compressor.
#
# Valid values are:
# 1 -  9 for gzip|bzip2|lzma|lzop
# 0 -  9 for  lz4|xz
# 0 - 19 for zstd
#
# COMPRESSLEVEL=1

#
# DEVICE: ...
#
# Specify a specific network interface, like eth0
# Overridden by optional ip= or BOOTIF= bootarg
#

DEVICE=

#
# NFSROOT: [ auto | HOST:MOUNT ]
#

NFSROOT=auto

#
# RUNSIZE: ...
#
# The size of the /run tmpfs mount point, like 256M or 10%
# Overridden by optional initramfs.runsize= bootarg
#

RUNSIZE=10%

#
# FSTYPE: ...
#
# The filesystem type(s) to support, or "auto" to use the current root
# filesystem type
#

FSTYPE=auto

Kód: [Vybrat]

root@mint:/# cat /etc/initramfs-tools/conf.d/cryptsetup
# /etc/initramfs-tools/conf.d/cryptsetup

CRYPTSETUP=yes
export CRYPTSETUP

root@mint:/# cat /etc/initramfs-tools/update-initramfs.conf
#
# Configuration file for update-initramfs(8)
#

#
# update_initramfs [ yes | all | no ]
#
# Default is yes
# If set to all update-initramfs will update all initramfs
# If set to no disables any update to initramfs beside kernel upgrade

update_initramfs=yes

#
# backup_initramfs [ yes | no ]
#
# Default is no
# If set to no leaves no .bak backup files.

backup_initramfs=no

[martin.maly]

Zapomnel jsem zminit, ze jde o Linux Mint 22.1 Xfce, myslim, ze je postaveny na Ubuntu 24.04.

Kód: [Vybrat]

root@mint:/# ls /etc/systemd/system
bluetooth.target.wants                      dbus-org.freedesktop.thermald.service   graphical.target.wants       paths.target.wants                   sysinit.target.wants
dbus-fi.w1.wpa_supplicant1.service          dbus-org.freedesktop.timesync1.service  hibernate.target.wants       printer.target.wants                 syslog.service
dbus-org.bluez.service                      display-manager.service                 hybrid-sleep.target.wants    rescue.target.wants                  timers.target.wants
dbus-org.freedesktop.Avahi.service          display-manager.service.wants           mdmonitor.service.wants      sleep.target.wants
dbus-org.freedesktop.ModemManager1.service  emergency.target.wants                  multi-user.target.wants      sockets.target.wants
dbus-org.freedesktop.nm-dispatcher.service  final.target.wants                      network-online.target.wants  suspend-then-hibernate.target.wants
dbus-org.freedesktop.resolve1.service       getty.target.wants                      oem-config.service.wants     suspend.target.wants

[Thamou1976]

Ten drop do busyboxu je jeste pred zadanim hesla na rozsifrovani disku?
Je mi podezrele, ze se grub shani po UUID, ktere ma byt k dispozici az po rozsifrovani.

Instaluju takto Ubuntu bezne, akorat bez dualbootu Windows. Vetsina kroku je shodna s Vasim postupem - zjednodusene:
1) /dev/sda1 /boot nesifrovany, /dev/sda2 cryptsetup luksFormat
2) cryptsetup luksOpen /dev/sda2 crypt_root
3) instalace / na /dev/mapper/crypt_root
4) chroot do nainstalovaneho systemu
5) uprava /etc/crypttab (nepouzivam UUID, ale rovnou /dev/sda2)
6) uprava /etc/fstab = /dev/mapper/crypt_root /
7) do /etc/cryptsetup-initramfs vubec nesaham, jen v chrootu jeste pred rebootem update-initramfs -u
8 ) grub-install /dev/sda a reboot

[Reklama]

[k3dAR]

nejsem si jistej kde si vzal /etc/cryptsetup-initramfs/cryptroot.conf  , ale v *buntu ho nepouzivam...
update-initramfs zakomponuje podporu cryptsetup v pripade ze aktualne odemcenej luks nazev najde v /etc/crypttab,
- a v tvem vidim "nvme0n1p3_crypt"
- ale odemykals to pod nazvem "cryptroot"

[Mmmartan]

Mně se nezdá to rozdělení disku... I první screenshot říká, že je špatně EFI.

Device     Boot   Start       End   Sectors  Size Id Type
/dev/sda1  *         64   5636095   5636032  2.7G  0 Empty
/dev/sda2          8460     18699     10240    5M ef EFI (FAT-12/16/32)
/dev/sda3       5636096 122830847 117194752 55.9G 83 Linux

sda1 má boot flag, měla by to být EFI partition; EFI by měla mít o trochu víc, než jenom 5MB, 100-500 MB stačí
sda2 udělej nešifrovanej /boot
sda3 luks

[hungarec]

Já bych začal od začátku a vzhledem k dualbootu s Windows by mě zajímalo zda chce tazatel vybírat OS v rámci bootloaderu (GRUB) nebo v rámci UEFI (klávesa F12 po spuštění PC).

V PC jsou 2 nvme disky. nvme1n1 je vyčleněn pro Linux a nvme0n1 pro Windows.

Od toho bych se odpíchnul dál...

[martin.maly]

Děkuji moc za nápady, o víkendu je vyzkouším.

Ten drop do busyboxu je jeste pred zadanim hesla na rozsifrovani disku?

Ano - takže se nedivím, že se mi nedaří nabootovat...

Mně se nezdá to rozdělení disku... I první screenshot říká, že je špatně EFI.

Device     Boot   Start       End   Sectors  Size Id Type
/dev/sda1  *         64   5636095   5636032  2.7G  0 Empty
/dev/sda2          8460     18699     10240    5M ef EFI (FAT-12/16/32)
/dev/sda3       5636096 122830847 117194752 55.9G 83 Linux

/dev/sda je LiveUSB, není třeba ho brát v úvahu.

nejsem si jistej kde si vzal /etc/cryptsetup-initramfs/cryptroot.conf  , ale v *buntu ho nepouzivam...
update-initramfs zakomponuje podporu cryptsetup v pripade ze aktualne odemcenej luks nazev najde v /etc/crypttab,
- a v tvem vidim "nvme0n1p3_crypt"
- ale odemykals to pod nazvem "cryptroot"

Ten jsem tam asi přidal já sám manuálně při jednom ze svých pokusů to rozběhnout.
Zdá se, že mi nesouhlasí  "nvme0n1p3_crypt" a "cryptroot", to může být příčina toho problému.

Já bych začal od začátku a vzhledem k dualbootu s Windows by mě zajímalo zda chce tazatel vybírat OS v rámci bootloaderu (GRUB) nebo v rámci UEFI (klávesa F12 po spuštění PC).

Je mi to vlastně jedno. Lehce preferuji GRUB. Na minulém počítači jsem podobný setup (dva disky, jeden pro Windows a druhý pro Linux, ale tehdy bez šifrování) a nainstaloval jsem to tak, že při zapínání počítače najel GRUB a mohl jsem si vybrat, jestli chci nabootoval Linux, nebo Windows.

[martin.maly]

Vážení, díky moc, díky vám jsem to pochopil a nabootoval!

Shrnutí, co jsem (asi) dělal špatně:
Odemykal jsem oddíl pro / v LiveUSB pod jiným názvem než byl v /etc/crypttab
Měl jsem z předešlých zoufalých pokusů navíc soubor /etc/cryptsetup-initramfs/cryptroot.conf , který byl k ničemu.

Celou situaci ještě komplikuje fakt, že moje dva disky /dev/nvme0n1 a /dev/nvme1n1 si (náhodně?) mění označení. Když jsem nabootoval do LiveUSB, označení bylo prohozené oproti tomu, jak to bylo nastavené v /etc/fstab opravovaného počítače...

Takže shrnutí:
Nabootoval jsem do LiveUSB, live systém si myslel, že /dev/nvme0n1 je pro Windows a /dev/nvme1n1 pro Linux.
Odemknul jsem /dev/nvme1n1p3 (označení v live systému) jako nvme0n1p3_crypt (to jsem dělal předtím špatně). Držel jsem se nvme0n1p3_crypt zuby nehty.
Namountoval jsem /dev/mapper/nvme0n1p3_crypt do /mnt
Namountoval jsem /dev/nvme1n1p4 do /mnt/boot
Udělal jsem mount --bind pro /dev /proc /sys /run a provedl chroot do /mnt
Přejmenoval jsem /etc/cryptsetup-initramfs/cryptroot.conf, abych se ho zbavil.
Zkontroloval jsem /etc/crypttab a zjistil, že je definice / oddílu pomocí UUID v totožná s tím, co vypisuje blkid. Soubor byl v pořádku. Na mém stroji se zdá být lepší to definovat pomocí UUID než /dev/nvme?n1p3, protože číslování disků může záviset na náladě počítače, jak se vzbudí
Zkontroloval jsem /etc/fstab - soubor byl v pořádku.
update-initramfs -u
Uvnitř chrootu jsem namountoval /dev/nvme1n1p4 jako /boot/efi
grub-install /dev/nvme1n1

Nyní se mi při startu počítače ukáže grub, pak se mě zeptá na heslo pro dešifrování a systém najede. :-)
Díky moc!

[TechnikTom]

A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.
Naposledy u mého Lubuntu 18.04.
Po zapnutí PC najel GRUB, když jste chtěl, vybral jste třeba Linux, zeptalo se to na heslo k disku a bylo.
Když jste neudělal nic, tak najely například Windows či cokoli, co jste měl předvolené a běžný uživatel ani netušil, že v tom PC je i něco jiného než Windows.
Pak někdo usoudil, že to je asi málo bezpečné a ne že by přidal další možnost - zašifrovat i boot, dal to při instalaci jako možnost jedinou.
Takže po zapnutí PC najede něco jako příkazový řádek, kdy ani nevidíte, jestli něco píšete ( super třeba při vypnuté numerické klávesnici ) a až po zadání hesla můžete zvolit spuštění jiného systému.
Třeba z disku, který vůbec zašifrovaný není.
Logika jak hrom.
Já mám navíc tu bezpečnost nechtěně dotaženou do dokonalosti tím, že z neznámého důvodu mi po zadání hesla sice najede grub menu, ale pokud nenajedu do Advancece options nezvolím jádro ( nebo co to je ) max. verze 113, tak start systému končí hláškou cryptsetupu o vyčerpání počtu pokusů nebo tak něco.
Takže můj systém by asi nikdo nespustil i se znalostí správného hesla k disku  :o)

[LolPhirae]

A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.

Pokrok nezastavíš. 

[k3dAR]

A teď si představte, že dřív to takhle nainstaloval instalátor úplně sám, bez všech těch opičáren.
Naposledy u mého Lubuntu 18.04.
Po zapnutí PC najel GRUB, když jste chtěl, vybral jste třeba Linux, zeptalo se to na heslo k disku a bylo.

Nejsem si jistej v ktery situaci, ktery instalator jako verze *buntu nebo Mintu to tak dela, ale predstav si ze ja uz X let instaluju *buntu tak ze si nejdriv umyslne pripravim sifrovanej disk vcetne bootu, celkem komplikovanou cestou prave protoze ze to instalator z nepochopitelneho duvodu neumel ;-)

Pak někdo usoudil, že to je asi málo bezpečné a ne že by přidal další možnost - zašifrovat i boot, dal to při instalaci jako možnost jedinou.
Takže po zapnutí PC najede něco jako příkazový řádek, kdy ani nevidíte, jestli něco píšete ( super třeba při vypnuté numerické klávesnici ) a až po zadání hesla můžete zvolit spuštění jiného systému.
Třeba z disku, který vůbec zašifrovaný není.
Logika jak hrom.

Prave ze logicke to je...
- s nesifrovanym boot, ma pripadny utocnik s fyzickym pristupem snadno dostupny tvuj initramfs do ktereho ti prida keyloger co tve LUKS heslo priste odchytne a posle si ho
- pokud mas dualboot a pouzivas bootloader menu z zasifrovaneho disku, tak se pta na heslo pred zobrazenim menu i pro pripadnej start nesifrovaneho OS, jako tady je pravda ze by asi technicky slo resit aby menu bylo v EFI a teprve po vybrani polozky se sifrovanym systemem se cryptsetup modul Grubu zeptal na heslo k LUKS a az nasledne by z sifrovaneho boot nacetl jadro a initramfs, na druhou stranu nikdo ti nebrani abys mel v EFI vybran zavadec pro tvuj primarni system (at uz to je Windows nebo sifrovanej ci nesifrovanej Linux) a pro start do jineho si zmackl F12 (ci hotkey tve desky pro BootMenu) kde vybral zavadec toho jineho OS, tedy v pripade primarniho Grubu pro sifrovany Linux, pres F12 vyberes Windows a startujes rovnou Widnows pres jejich bootloader primo, naprosto mimo Grub

Já mám navíc tu bezpečnost nechtěně dotaženou do dokonalosti tím, že z neznámého důvodu mi po zadání hesla sice najede grub menu, ale pokud nenajedu do Advancece options nezvolím jádro ( nebo co to je ) max. verze 113, tak start systému končí hláškou cryptsetupu o vyčerpání počtu pokusů nebo tak něco.

Tak asi mas neco podelane u novejsich "jader" resp. jejich initramfs, pripadne mozna nejaky bug...