Ubuntu - Linux 上的 ZFS 加密根池

我很高興 Canonical 為 Ubuntu v20.04 LTS Ubiquity（安裝程序）添加了實驗性的 ZoL（Linux 上的 ZFS）支持。不幸的是，Ubiquity 還沒有提示輸入 ZFS 加密密碼片語的能力。

非常感謝 Sean Reifschneider 的部落格文章“Installing Ubuntu 20.04 with ZFS Native Encryption Enabled”：

https://linsomniac.gitlab.io/post/2020-04-09-ubuntu-2004-encrypted-zfs/

我逐字逐句地按照以下說明進行了簡化：

Boot from "ubuntu-20.04-desktop-amd64.iso".

"Install:  Welcome"   ->   button "Try Ubuntu"   ->   

NOTE:  The following is for zpool create of the rpool.

->   button "Show Applications"   ->   shortcut "Terminal"   ->    sudo nano --linenumbers /usr/share/ubiquity/zsys-setup

Scroll down to line 310.  Type "echo MYPASSWORD | " before the text "zpool create -f \".  The finished line should be the following:
       echo MYPASSWORD | zpool create -f \

NOTE:  Line 320 should contain the following text:
               -O sync=disabled \

Insert new lines after line 320 with the following text:
               -O recordsize=1M \
               -O encryption=aes-256-gcm \
               -O keylocation=prompt \
               -O keyformat=passphrase \
->   Ctrl + o   ->   Enter   ->   Ctrl + x

Exit "Terminal".

From the desktop, double-click "Install Ubuntu 20.04 LTS".

請理解我正在執行第一次執行測試，並且我確實將 ZFS 加密密碼片語“MYPASSWORD”（不帶引號）。編輯“zsys-setup”時，我不記得是使用“Caps Lock”還是按住“Shift”鍵輸入密碼。也許沒關係。

在加密 ZFS 根目錄上安裝 Ubuntu 並處理 Plymouth 間歇性問題（圖形啟動閃屏）不顯示加密密碼提示後，我遇到了一個意外問題。

當啟用“Caps Lock”並輸入密碼時，它會顯示以下內容：

Enter passphrase for 'rpool':
<enter MYPASSWORD>
Key load error: Incorrect key provided for 'rpool'.

我的自我回答將隨之而來。

當“Caps Lock”未啟用時，我在按住“Shift”鍵的同時輸入密碼，密碼被接受，Ubuntu 按預期啟動。

Ubuntu v20.04 LTS 在 Linux Mint v19.1、Cinnamon 和 virt-manager（虛擬機管理器）上的 QEMU/KVM 來賓中執行。我不確定這是否相關，但似乎值得一提。

相比之下，當使用 dmcrypt/LUKS 安裝 Linux Mint v19.1 時，普利茅斯密碼提示也是一個問題，我通常會隱藏精美的圖形。相同的解決方法適用於具有 ZFS 加密根的 Ubuntu v20.04 LTS：

sudo nano --linenumbers /etc/default/grub

Comment the line by changing the line "GRUB_TIMEOUT_STYLE=hidden" to "#GRUB_TIMEOUT_STYLE=hidden".

In the line "GRUB_TIMEOUT" change from "0" to "4".

In the line "GRUB_CMDLINE_LINUX_DEFAULT" change from "quiet splash" to "quiet".

->   Ctrl + o   ->   Enter   ->   Ctrl + x

sudo update-grub

sudo shutdown -r now

雖然不太可能有人想要使用全大寫密碼，但我希望這對關注部落格的其他人有所幫助。

2020-05-04 編輯：

警告：使用前面提到的 ZFS 加密 rpool 程序會創建一個未加密的交換分區。我意識到這些還處於早期階段，並且該功能被標記為實驗性的，但此時這將比使用 dmcrypt/LUKS 和 LVM（邏輯捲管理器）的更典型的安裝退步，後者確實包括對交換卷的加密。

引用自：https://unix.stackexchange.com/questions/583502