如何為 UEFI 安裝具有全盤加密的 Debian?
所以我正在嘗試使用 UEFI 在我的 SSD 驅動器上安裝最新版本的 Debian。我想使用Cinnamon KDE桌面環境並讓我的驅動器完全加密。
我之前使用過 Windows 10,並且不是 Unix/Linux/Debian 方面的專家(我認為這沒有必要)。
我認為作業系統安裝是任何作業系統正常工作絕對必要的最基本的事情,因此我對 Debian 的狀態感到非常沮喪。我只是在使用現代硬體和標準(SSD 和 UEFI),我認為加密對每個人來說都是必須的。
所以這就是我所做的:
- 前往https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/下載debian-8.8.0-amd64-CD-1.iso使用 HashMyFiles 驗證 .iso 的雜湊並將其燒錄到CD(DVD 不工作)
- 然後我按照本指南進行操作(注意:通過簡單的選擇為 UEFI 設置正確的分區會更好!沒有人願意首先使用 Google 獲取指南等!):
我在安裝過程中沒有網路連接,我唯一可以選擇的軟體是“基本軟體”和“桌面環境”。分區時,我得到兩個帶有 FREE SPACE 的奇怪附加條目:一個 1 MB,一個 138.2 kB - 不知道為什麼要添加它們?除了 /boot 分區之外,我還創建了一個“EFI 系統分區”分區,該分區在教程中沒有描述,但我必須在我的第一次安裝嘗試完全失敗時創建它。
- 我能夠一直堅持到重新啟動安裝結束。當我重新啟動時,我得到了這個:
Loading, please wait... 1.xxxxxx usb 1-3: device descriptor read/64, error -71 [ 1.xxxxxx usb 1-3: device descriptor read/64, error -71 Please unlock disk sda2_crypt: _
- 我正確輸入了一次密碼並獲得:
No key available with this passphrase. cryptsetup: cryptsetup failed, bad password or options?
- 我再次正確輸入密碼,並顯示“設置成功”和“正在恢復日誌”(我嘗試了很多次,它總是只在第二次嘗試時有效!)
- 然後它說(粗體)“請在 /home 上輸入磁碟密碼…”我必須再輸入一次密碼(請參閱上面的指南 - 再次我不確定為什麼人們還沒有實施一種方法只需輸入一次的密碼即可輕鬆加密整個驅動器)
- 然後我只到終端,上面寫著:
Debian GNU/Linux 8 name tty1 name login:
- 我輸入我的使用者名(我用 root 和我在安裝過程中設置的使用者嘗試過)和我的密碼並得到:
username@name:~$_
- 沒有提供更多資訊,沒有圖形桌面環境,什麼都沒有。
我不知道如何在這裡進行。
這沒有幫助:wiki.debian.org/UEFI
startx 也沒有讓我進入桌面環境。我也很不情願地嘗試禁用安全啟動,但這也無濟於事。
更新:我嘗試了另一個安裝,但我沒有按照教程進行操作,而是選擇了“引導 - 使用整個磁碟並設置加密 LVM”。在那裡,我只需要輸入一次密碼,然後在啟動時輸入密碼,我得到以下資訊:
Loading, please wait... [ 1.xxxxxx usb 1-3: device descriptor read/64, error -71 [ 1.xxxxxx usb 1-3: device descriptor read/64, error -71 Volume group "name-vg" not found Skipping volume group name-vg Unable to find LVM volume name-vg/root Volume group "name-vg" not found Skipping volume group name-vg Unable to find LVM volume name-vg/swap_1 Please unlock disk sda3_crypt: _一旦我輸入密碼並登錄到我的 2 個帳戶(root 或使用者名)之一,我就沒有獲得桌面環境,而是留在 bash 終端,沒有提供更多資訊。當我進入時,
startx我只得到:username@name:~# []我無法輸入任何內容。我嘗試使用僅主機板的板載圖形。如果我在我的顯卡中建構,我不會得到上述內容,而是黑屏/無法工作的顯示器。我還嘗試將我的 UEFI 設置重置為預設設置(並且僅將引導模式更改為 UEFI)。
我不能誇大我在這裡的失望程度。我不想做任何不尋常的事情或擁有任何不尋常的硬體。我試圖從 Windows 移到 FOSS,但目前看來這是不可能的:(
更新 2:好的,所以現在我再次嘗試使用“專家模式”,這給了我更多選擇。在其中,當我被問到它時,我還安裝到了可移動媒體路徑(如 wiki.debian.org/UEFI 中所推薦的)。那沒有幫助。
我也遇到了這篇文章:https ://forum.level1techs.com/t/solved-installing-linux-on-an-m-2-ssd/110982/46另一個使用者也遇到了同樣的問題。
我今天會做一些進一步的測試,但似乎原因是我的主機板 B250 PC MATE 無法與帶有 UEFI 的非 Windows 作業系統一起使用。
我發現MSI 和可能的 UEFI無法接受這一點,並希望其他人也這樣做,並且我們可以採取相應的行動(讓潛在買家知道這個問題、抵制、起訴等)。
看來我現在有 3 個選項:
- 安裝 Windows 10(但我想遠離漏洞、後門和專有軟體)
- 使用 Legacy 模式而不是 UEFI 安裝 Debian(我希望這可行,並且我可以使用大於 2TB 的非引導驅動器;此外,我會錯過某些 UEFI 改進,我希望將來可以使用安全引導)
- 獲得一個新主機板(我如何確定它可以與另一個主機板一起使用?)
後續問題:我應該為 Debian 使用舊版 BIOS 還是換個新主機板?
更新 3:所以現在我嘗試使用舊版 BIOS,沒有加密,也沒有單獨的主分區。我仍然遇到同樣的問題,所以我不確定原因是什麼,但它似乎不是 UEFI。有任何想法嗎?
我讓它與Debian 9.0.0一起工作(通過從 DVD 引導),它是在我提出這個問題後發布的。我只是簡單地完成了標準 UEFI 安裝並選擇了“引導 - 使用整個磁碟並設置加密 LVM”和“肉桂”作為桌面環境。
尚不支持 SecureBoot;並且在啟動時,我現在需要等待幾秒鐘才能輸入密碼才能在第一次嘗試時工作。我在沒有 Internet 連接的情況下安裝,之後對 sources.list 文件有一些問題,但得到了修復。
安裝後應安裝 sudo 和防火牆 (gufw) 並將使用者添加到 sudoers 文件。還應該執行
apt-get update && apt-get upgrade並確保所有內容都已升級。