Debian 系统安装:debootstrap+btrfs+luks+systemd-boot+安全启动+TPM自动解锁

准备工作

任意选择一个 live ISO 镜像,启动到 live 环境进行后续的安装操作,切换到 root 用户权限:

1
su root

修改一下 apt 镜像源地址,改为速度更佳的镜像源,并更新软件源:

1
apt update

磁盘分区

按自己喜好分区,以 /dev/sda 为例:

  • /dev/sda1 ESP 分区,标签 ESP(建议 1GB 以上,systemd-boot 在这里保存内核和 initrd)
  • /dev/sda2 系统安装分区,标签 Debian(包括 /boot 和 swap 等)
  • 其他分区按需配置
1
2
3
parted /dev/sda
mklabel gpt
mkpart

格式化 EFI 分区并设置 flags:

1
2
3
mkfs.fat -F 32 -n EFI /dev/sda1
parted /dev/sda set 1 esp on
parted /dev/sda set 1 boot on

准备加密分区:

1
cryptsetup -y -v --type luks2 luksFormat --label Debian /dev/sda2

解锁加密分区:

1
cryptsetup open /dev/sda2 cryptroot

将系统根分区格式化为 btrfs:

1
mkfs.btrfs /dev/mapper/cryptroot

准备 btrfs 子卷

挂载分区到 /mnt

1
mount /dev/mapper/cryptroot /mnt

按需创建子卷:

1
2
3
4
btrfs subvolume create /mnt/@
btrfs subvolume create /mnt/@home
btrfs subvolume create /mnt/@snapshots
btrfs subvolume create /mnt/@swap

卸载 /mnt 并重新挂载子卷:

1
2
3
4
5
6
7
8
umount /mnt

mount -o defaults,noatime,subvol=@ /dev/mapper/cryptroot /mnt
mkdir -p /mnt/{boot,home,.snapshots}
mkdir /mnt/boot/efi
mount /dev/sda1 /mnt/boot/efi
mount -o defaults,noatime,subvol=@home /dev/mapper/cryptroot /mnt/home
mount -o defaults,noatime,subvol=@snapshots /dev/mapper/cryptroot /mnt/.snapshots

设置 swapfile(可选):

1
2
3
4
5
6
7
8
mkdir -p /mnt/swap
mount -o subvol=@swap /dev/mapper/cryptroot /mnt/swap
touch /mnt/swap/swapfile
chmod 600 /mnt/swap/swapfile
chattr +C /mnt/swap/swapfile
dd if=/dev/zero of=/mnt/swap/swapfile bs=1M count=16384
mkswap /mnt/swap/swapfile
swapon /mnt/swap/swapfile

基本系统安装

1
apt install debootstrap arch-install-scripts

执行 debootstrap 命令进行基本系统安装,镜像源地址可自行指定:

1
debootstrap --arch amd64 sid /mnt http://deb.debian.org/debian

准备 chroot 环境:

1
2
3
4
5
6
7
8
9
10
11
12
cp /etc/mtab /mnt/etc/mtab

# use arch-chroot to skip these steps 使用 arch-chroot 命令可跳过注释的步骤
# mount -o bind /dev /mnt/dev
# mount -o bind /dev/pts /mnt/dev/pts
# mount -o bind /proc /mnt/proc
# mount -o bind /sys /mnt/sys

genfstab -U /mnt >> /mnt/etc/fstab

# chroot /mnt
arch-chroot /mnt

安装相关软件

修改软件源 /etc/apt/sources.list,在 main 后面添加 contrib non-free non-free-firmware

1
2
3
4
5
6
7
8
9
apt update
apt install tasksel
tasksel install standard
dpkg-reconfigure locales
# if laptop
tasksel install laptop

# 安装一些后续系统配置必需的软件包
apt install sudo btrfs-progs firmware-linux-nonfree wpasupplicant tpm2-tools

配置时区、主机名等:

1
2
3
dpkg-reconfigure tzdata
echo 'pc' > /etc/hostname
echo '127.0.1.1 pc' >> /etc/hosts

设置用户:

1
2
3
useradd your_username -m -c "Your Name" -s /bin/bash
passwd your_username
usermod -aG sudo your_username

安装 dracut 与内核并添加 tpm 模块到 dracut 配置:

1
2
3
4
5
6
apt install dracut

# /etc/dracut.conf.d/10-tpm.conf
add_dracutmodules+=" tpm2-tss "

apt install linux-image-amd64

写入内核启动参数:

1
echo "rd.luks.options=tpm2-device=auto rd.luks.name=$(blkid -s UUID -o value /dev/sda2)=cryptroot root=UUID=$(blkid -s UUID -o value /dev/mapper/cryptroot) rootflags=subvol=@" > /etc/kernel/cmdline

fstab 中修改 efi 分区相关参数以避免 systemd-boot 权限警告:

1
fmask=0137,dmask=0027

安装 bootloader 并配置 secure boot 支持:

1
2
3
4
5
6
7
8
9
10
11
apt install systemd-boot

# 修改启动菜单超时 /boot/efi/loader/loader.conf
timeout 3

cp /usr/lib/shim/shimx64.efi.signed /boot/efi/EFI/systemd/shimx64.efi

# shim 暂时被硬编码成加载 grubx64.efi 文件
cp  /boot/efi/EFI/systemd/systemd-bootx64.efi  /boot/efi/EFI/systemd/grubx64.efi

efibootmgr --disk /dev/sda --part 1 --create --label "Systemd-boot via Shim" --loader '\EFI\systemd\shimx64.efi' --unicode '\EFI\systemd\systemd-bootx64.efi'

重启后配置

重启进入系统,添加 tpm 自动解锁:

1
systemd-cryptenroll --tpm2-device=auto --tpm2-pcrs=0+7 /dev/nvme0n1p3

完成。 :)