私の目標は、完全なシステム暗号化のためにRHEL8 UEFIセキュアブートシステムでluks1を使用して/bootおよび/boot/efiパーティションを暗号化することです。
BIOSモードRHEL8インストールでは、/bootパーティションを暗号化(LUKS1)し、grubを更新して必要な暗号化モジュールを事前にロードできますが、UEFIシステムは/bootおよび/boot/efiパーティションを暗号化しようとしています。すべてを暗号化できますが、新しいパラメータを受け入れるようにGRUB2を更新する際に問題があります。私の基本的なステップは次のとおりです。
- /boot および /boot/efi パーティションデータを /root にコピーします。
- どちらのパーティションもマウント解除
- パーティションを luks1 に変換し、データを暗号化し、再マウントし、再度移動します。
- 新しいUUIDでfstabとcrypttabを変更する
- grub2-mkconfigを使用して新しいgrub設定を作成します(これにより、insmod cryptodiskやその他のエントリを使用して/boot/efi/EFI/redhat/grub.cfgファイルが適切に変更されます)。
- 新しいブートローダのインストール
ブートローダ(GRUB2)の変更を除いて、すべてがうまく機能します。 grub2-installを使用すると、grub2がuefiセキュアブートシステムを更新できないというエラーメッセージが表示されます。 efibootmgrを試してみましたが、プログラムはブートローダを再インストールせずに現在のエントリのみを管理しているようです。
必要なluks1暗号化サポートを使用してUEFIセキュアブートシステムにgrubブートローダを再インストールするために使用できる手順はありますか?
よろしくお願いします。