1.建立池 池相当于 raid0 池里面可以有很多的 vdev # zpool create <poolname> [mirror/raidz/raidz2] <disk-id> 以下为建立 RAID1 阵列命令 # zpool create <poolname> \ mirror \ <disk-1> \ <disk-2> \ <disk-3> \ ... 以下为建立 RAID10 阵列命令 # zpool create <poolname> \ mirror \ <disk-1> \ <disk-2> \ mirror \ <disk-3> \ <disk-4> 2.增加 vdev 到 pool 增加 vdev 到 pool 需要和目前存在的 vdev 类型一样 即 mirror 组成的 vdev 则需要增加 mirror 到pool # zpool add <poolname> [mirror/raidz/raidz2] <disk-id> 以下为 RAID1 升级为 RAID10 命令...
修改文件 /etc/security/passwdqc.conf 选项 enforce 值 everyone 为 none。
配置加密 将配置写入 /etc/crypttab ,将$name $uuid $keyfile 替换为自己的配置, keyfile 为.gpg 结尾时,会启用 crypt-gpg. /etc/crypttab ----- $name UUID=$uuid $keyfile 设置公钥 将公钥放入 /etc/dracut.conf.d/crypt-public-key.gpg 设置 dracut.conf 需要手动加入 crypt-gpg 模块,将 $keyfile 替换为自己的密钥 /etc/dracut.conf ----- hostonly="no" install_items+=" /etc/crypttab $keyfile " add_dracutmodules=" crypt-gpg "
创建主键 tpm2_createprimary -Q -C o -c ~/tpm/primary.context 创建当前 TPM 的签名 (可选) pcr_bank 可选 sha1 sha256 pcr_id 功能如下表,一般来说 “0,1,3,7” 即可 PCR USE NOTES PCR0 核心系统固件可执行代码(又名固件) 如果您升级 UEFI,可能会发生变化 PCR1 核心系统固件数据(又名 UEFI 设置) PCR2 扩展或可插入的可执行代码 PCR3 扩展或可插拔固件数据 在 Boot Device Select UEFI 引导阶段设置 PCR4 引导管理器代码和引导尝试 测量引导管理器和固件尝试从中引导的设备 PCR5 引导管理器配置和数据 可以测量引导加载程序的配置;包括 GPT 分区表 PCR6 从 S4 和 S5 电源状态事件恢复 PCR7 安全启动状态 包含 PK/KEK/db 的全部内容,以及用于验证每个启动应用程序的特定证书 PCR8 内核命令行的哈希 由grub和systemd-boot支持 PCR9 initrd 的哈希 预定 linux v5.17 PCR10 保留供将来使用 PCR11 BitLocker 访问控制 PCR12 数据事件和高波动事件 PCR13 引导模块详细信息 PCR14 引导权限 PCR15-23 保留供将来使用 tpm2_pcrread -Q "sha256":"0,1,2,3,7" -o "$TMP"/pcr....
统一内核映像是单个可执行文件,可以直接从 UEFI 固件启动,或者由引导加载程序自动获取,只需很少或没有配置。 准备 Grub 配置文件 此配置文件和普通 Grub 配置文件一样,一下只是适配我电脑的配置,默认情况下 Grub 的 root 为 (memdisk). ~/SecureBoot/grub.cfg ----- menuentry 'Gentoo' --class gentoo --class gnu-linux --class gnu --class os{ insmod all_video linux /vmlinuz root=/dev/sda1 initrd /initramfs.img } 构建 EFI 文件 使用 grub-mkstandalone 构建单一的内核映像, 将命令中的 vmlinuz-5.15.41-gentoo 以及 iniramfs-5.14.41-gentoo 替换为自己的内核及 initramfs. grub-mkstandalone --direcotry /usr/lib/grub/x86_64-efi --format x86_64-efi --disable-shim-lock --output grub.efi /vmlinuz=/boot/vmlinuz-5.15.41-gentoo /initramfs.img=/boot/initramfs-5.14.41-gentoo /boot/grub/grub.cfg=~/SecureBoot/grub.cfg 签名 EFI 文件 (可选) 如果使用了安全启动,可以对 EFI 文件进行签名. sbsign --key ~/keys/db.key --cert ~/keys/db.crt --output grub....