kt97679 Feb 9 2022 at 05:22

Установка ubuntu 20.04 с корнем на шифрованном ZFS зеркале и UEFI загрузкой

6 min

11K

*nix*

Comments 10

13werwolf13 Feb 9 2022 at 07:04

позволь предложить поправочку:

efi boot partition может прекрастно жить на mdadm зеркале

пишу это потому что несколько раз столкнулся с ситуацией когда на двух efi разделах данные разъехались, на одном был свежак а на втором ещё от предыдущего релиза системы до апгрейда что вызвало боль когда первый диск немножко посыпался

kt97679 Feb 9 2022 at 19:20

К сожалению этот подход работает ровно до того момента, пока uefi не сохранит что-то в процессе загрузки в обход mdadm. Больше подробностей тут:

HOWEVER there is one nasty risk with this setup: if UEFI writes anything to one of the drives (which this firmware did when it wrote out a “boot variable cache” file), it may lead to corrupted results once Linux mounts the RAID (since the member drives won’t have identical block-level copies of the FAT32 any more).

13werwolf13 Feb 9 2022 at 19:31

Насколько я понимаю это не происходит само по себе а должно быть явно вызвано. Но может я и не прав.

edo1h Feb 9 2022 at 19:43

Так что создание загрузочного раздела требует явным образом указать только то, что понимает grub

по мне проще сделать этот раздел ext4
или вообще обойтись без него (и без grub), копируя ядро и initramfs на vfat-раздел
https://habr.com/ru/post/314412/

Пароль на доступ к диску придется вводить вслепую через несколько секунд после начала загрузки. Вы можете убрать quiet из параметров или просто поставить десктопную среду

я не понял, как эта десктопная среда будет грузиться до ввода пароля

Я предпочитаю иметь небольшой своп:

а какой смысл в свопе, существенно меньшем размера памяти?

kt97679 Feb 9 2022 at 20:30

я не понял, как эта десктопная среда будет грузиться до ввода пароля

В статье я использовал мета пакет ubuntu-minimal. Если вы поставите ubuntu-dektop-minimal, то получите при загрузке splash screen с логотипом ubuntu и вместе с ним поля ввода пароля доступа к диску.

а какой смысл в свопе, существенно меньшем размера памяти?

Прошу прощения, надо было явно уточнить, что виртуальная машина, на которой я экспериментировал при написании статьи, была в чистом виде полигоном и больше ни для каких целей не использовалась. На физической машине у меня 64гб.

edo1h Feb 9 2022 at 23:31

В статье я использовал мета пакет ubuntu-minimal. Если вы поставите ubuntu-dektop-minimal, то получите при загрузке splash screen с логотипом ubuntu и вместе с ним поля ввода пароля доступа к диску.

понятия не прибавилось.
если у вас корень файловой системы зашифрован, то пароль должен запрашиваться из initramfs до монтирования корня.
хотите сказать, что ubuntu пихает в initramfs графические утилиты для ввода пароля?

kt97679 Feb 10 2022 at 02:05

Пароль действительно запрашивается из initramfs. А за красивости вокруг этого процесса отвечает пакет plymouth. У меня в минимальной установке его не было, но вы правы в том, что поставить его можно и без десктопного окружения. Сейчас поправлю статью. Спасибо за замечание!

Jsty Feb 9 2022 at 23:20

В чем плюсы zfs для домашнего использования?

Gaernebjorn Feb 10 2022 at 04:12

Защитой от вымогателей-шифровальщиков с помощью "бесплатных" снапшотов, например

Jsty Feb 10 2022 at 23:03

Для себя я это решил тем, что куча приложений запускаются под своими пользователями без доступа куда-то еще. Пусть свой хомяк шифруют, если вдруг уязвимость будет в хроме, которая позволит с правами процесса хрома запустить бинарник при скачивании.

Можно накидывать причин так не делать или запускать каждое приложение в отдельной виртуалке. А виртуалку каждый раз из снэпшота поднимать.