Перемещение EFI и /boot раздела

Question

В системе UEFI загрузчик grub расположен в разделе EFI, поэтому также требуется наличие /boot в незашифрованном виде.

У меня есть жесткий диск Linux / Windows с двойной загрузкой, на котором Windows зашифрована с помощью veracrypt, а Linux - с помощью встроенного dm-crypt. Загрузочный загрузчик Veracrypt вместе с незашифрованным загрузчиком Windows также находится на EFI?

Я хотел переместить весь раздел EFI и раздел /boot с жесткого диска на USB-устройство. Могу ли я сделать это с помощью простой команды 'dd', а затем удалить разделы efi и boot на диске? Будут ли Windows жаловаться, если я перенесу это на USB? Существует также раздел восстановления с окнами, но я предполагаю, что мне не стоит об этом беспокоиться. Что я получу в плане безопасности при выполнении этой операции?

Answer 1

Я не знаком с Veracrypt, но я ожидаю, что его основные функции, связанные с загрузкой, должны храниться где-нибудь в незашифрованном виде. Логическим местом для этого может быть ESP, но это может быть где-то еще, например, выделенный раздел или даже некоторая незашифрованная часть раздела NTFS.

Простое копирование ESP на другое устройство не будет работать. Проблема в том, что в EFI в NVRAM существует указатель на загрузчик, и поэтому, если вы переместите загрузчик, эта запись NVRAM будет считаться недействительной, а система останется не загружаемой. Вам потребуется обновить запись NVRAM, создать совершенно новую запись NVRAM или использовать резервное имя файла (EFI/BOOT/bootx64.efi) для основного загрузчика, чтобы загрузить систему. Вы можете обновить или создать новую загрузочную запись с помощью такого инструмента, как efibootmgr в Linux, bcdedit в Windows, EasyUEFI в Windows, bcfg в оболочке EFI или встроенных инструментов управления загрузкой в некоторых реализациях EFI.

Чтобы больше узнать об основах EFI, я рекомендую начать со следующего:

• Запись Адама Уильямсона в блоге о том, как работает EFI. На этой странице описывается теория загрузки в режиме EFI.
• Вопрос и ответы о различиях между загрузкой BIOS и EFI на Superuser.com - это обеспечивает основы предыдущего, но является более кратким.
• Моя страница о загрузчиках EFI для Linux - на этой странице описывается выбор загрузчика EFI для систем Linux, включая информацию о том, как создавать загрузочные записи NVRAM.

Ни одна из этих страниц напрямую не отвечает на ваши вопросы о шифровании, но все они должны, в той или иной степени, помочь вам понять, как работает процесс загрузки EFI. Такое понимание поможет вам разобраться с продвинутой конфигурацией, такой как то, что вы пытаетесь создать.