/boot を含めたフル暗号化を行い GRUB で起動するときに気をつけること
EFI パーティションのみが暗号化されていないパーティションであるが、通常 /boot 配下に置かれる grub.cfg などがそのままでは読めないので、ブートストラップ cfg を EFI パーティション側に置く必要がある
別に EFI パーティションにおいてもいいけど、オプションなどが改ざんできるようになるわけで、せっかく暗号化するなら分けておきたい
LUKS には v1, v2 があるが /boot には v1 を使え cryptsetup でなにも言わずに作ると v2 になるぞ!
Why: 2020/6/18 時点で GRUB の v2 サポートはまだ master にしかない
2020/1 に入っているのでもうリリースされているかと思ったが、最新のリリースは 2019/7/15 の grub-2.04 だった
仮にその状態で grub-mkconfig してもまるで暗号化されてないドライブかのような扱いを受けたファイルが生成されて死ぬ
起動に失敗した後の GRUB shell で cryptomount しても無言で終了して悲しくなるぞ!
エラーが出ないのでなにが悪いのかを想像して補う必要がある
まあ、通常はパスフレーズの入力が出るところ出ないし、マウントされないのでなにかがおかしいことはわかる
insmod luks; insmod cryptodisk; insmod btrfs; しても動かないのでね