BOOT UEFI …
BOOT UEFI
Abbiamo la nostra distribuzione già montate e funzionante, desideriamo però renderla BOOT UEFI, vediamo come fare.
Per prima cosa necessitiamo di un disco per poggiare la nostra distribuzione funzionante, poi ci accertiamo che questa possa boottare (effettuare il boot) da usb, quindi ci andremo ad installare sopra il boot loader grub e riavviamo da usb.
Adesso siamo pronti a piallare il disco.
# dd if=/dev=zero of=/dev/sda ibs=1M count=1024
Scrivendo 1Gb di dati siamo sicuri che almeno la tavola delle partizioni + una parte del disco sia pulita
adesso dobbiamo installare gdisk, questo permette le partizioni in GPT e di conseguenza anche il BOOT UEFI
#apt-get install gdisk -y
Cominciamo con il costruire la nostra tavola delle partizioni
# gdisk /dev/sda
Creiamo la prima partizione da 2 Mb e gli assegniamo il valore esadecimale ef02, ovvero boot efi
——————-
n
1
+2M
ef02
——————-
Creiamo la seconda partizione che conterrà la /boot e gli assegniamo il valore esadecimale 8300, ovvero partizione linux
——————-
n
2
+512M
8300
——————-
Creiamo la terza ed ultima partizione che conterrà la nostra LVM e se vogliamo possiamo anche cifrarla, a questa assegneremo il valore esadecimale 8e00 ovvero partizione LVM
——————-
n
3
8e00
——————-
A questo punto dobbiamo salvare le informazioni per poi rientrare nella gestione del disco
——————-
w
——————-
# gdisk /dev/sda
Con il comando p verifichiamo che tutto sia corretto
——————-
p
——————-
Entriamo in expert mode ed assegniamo lo status di BOOTABLE alle nostre partizioni
——————-
x
a
2
2
x
a
2
w
Y
——————-
#
Assegnamo lo status di partizione ai volumi presenti su SDA
# sgdisk /dev/sda –attributes=1:show # Diventa sda1 UEFI BOOT
# sgdisk /dev/sda –attributes=2:show # Diventa sda2 LEGACY BIOS BOOTABLE on UEFI BOOT
# sgdisk /dev/sda –attributes=3:show # Diventa sda3 LVM UEFI BOOT
Qui un sano ed onesto reboot ci sta benissimo, costringeremo il sistema a rileggere tutto da capo, compreso la presenza della UEFI BOOT
# reboot
Adesso andiamo a creare il volume fisico in sda3
Potrebbe essere possibile che il sistema ricordi la presenza dei vecchi volumi, quindi prima di tutto li rimuoviamo.
# vgremove Pinocchio
Se ci da errore non ricorda nulla, se ricorda la presenza dei vecchi volumi ci chiederà di rimuoverli, pertanto li rimuoviamo e poi rimuoviamo anche il volume fisico in sda3, altrimenti procediamo con l’assegnazione
# pvremove /dev/sda3
Anche qui sta bene un sano ed onesto reboot per costringere il sistema a dimenticare il passato ed a rileggere la UEFI BOOT
# pvcreate /dev/sda3
# vgcreate Pinocchio /dev/sda3
Adesso dobbiamo decidere se creare i volumi cifrati, se crearli in chiaro o se creare una parte in chiaro e l’altra cifrata.
Io creerò / (root) in chiaro, /home cifrata e la SWAP mappata su SWAP-CIPHER con una cifratura dinamica, ovvero la chiave cambia ad ogni riavvio, a questo proposito ho già scritto un articolo.
Pialliamo la /dev/sda2
# dd if=/dev/zero of=/dev/sda2
Formattiamo /dev/sda2 in ext2 (conterrà la boot)
# mkfs.ext2 /dev/sda2
copiamoci subito dentro i dati di /boot
# mount /dev/sda2 /mnt
# cp -R /boot/* /mnt
# sync
# umount /dev/sda2
Creo i volumi logici
# lvcreate -n ROOT -L80g Pinocchio
# lvcreate -n SWAP -L16g Pinocchio
# lvcreate -n HOME -l100%FREE Pinocchio (occupo l’intero spazio rimasto)
Adesso dobbiamo formattare la ROOT e strappargli via il journal, noi non vogliamo che qualcuno possa leggere la chiave di cifratura del disco, quindi procediamo
# mkfs.ext4 /dev/mapper/Pinocchio-ROOT
# tune2fs -O ^has_journal /dev/mapper/Pinocchio-ROOT
Verifichiamo che il journal non sia più presente
# dumpe2fs -h /dev/mapper/Pinocchio-ROOT
Adeso un sano ed onesto riavvio non guasta, questo serve a pulire la memoria, se vogliamo essere froci fino alla fine, invertiamo anche la posizione delle memorie, io lo faccio !
# reboot
Questo costringerà il sistema a ricaricare un BOOT UEFI pulito.
Verifichiamo che il journal non sia più presente dopo il riavvio
# dumpe2fs -h /dev/mapper/Pinocchio-ROOT
# mount /dev/mapper/Pinocchio-ROOT /mnt
Copiamoci dentro tutto il sistema operativo e ricostruiamo le directory mancanti.
Facciamo in modo che il sistema possa avviarsi da disco rigido sistemando opportunamente fstab e sistemando il grub su /dev/sda, anche qui scrissi un articolo che spiegava come evitare un attacco evil maid attack.
Ricordiamoci di sistemare anche /etc/default/grub visto che non abbiamo più il jounal. A questo scopo, c’è il mio precedente articolo in cui descrivo come montare un disco SSD.
Spegnere il computer
# shutdown -h now
Riavviare da disco rigido, anche qui, un inversione delle ram non guasterebbe, pertanto prima di riavviare io inverto le ram, questo costringe il sistema a ricaricare la BOOT UEFI.
Voi vi chiederete, a cosa serve una BOOT UEFI se tute le volte la ricarichiamo da zero? la BOOT UEFI serve a non ricaricare sempre tutto da zero, ma in questa fase, noi stiamo istallando il sistema, quindi un passetto alla volta e ricaricando sempre tutto da zero ci evita possibili madornali errori.
La configurazione presente su usb drive, ci consente di riavviare il sistema in modo pulito ogni volta, così in caso di errore lo vediamo subito e non sciupiamo il nostro lavoro.
Se il disco “FRITTO” carica correttamente il sistema operativo, possiamo procedere con il cifrare la nostra HOME e farla caricare al nostro sistema operativo con BOOT UEFI.
Se volete potete contattarmi anche su FACEBOOK