小记，Arch配置TPM2+安全启动+自动解锁LUKS硬盘

首先，一些教程可能会让你把/mnt/etc/mkinitcpio.d/linux.preset下的
image行注释，然后取消注释uki，这是可行的，但如果用了GRUB和之类的引导管理器就没必要这么搞，但还是推荐将PRESETS中的fallback删除（如果你直接将efi引导区挂在Boot上的话）

现在正式开始
第一步：
编辑/mnt/etc/mkinitcpio.conf将其中的HOOKS改成像这样的
HOOKS=(base systemd autodetect modconf kms keyboard sd-vconsole sd-encrypt block filesystems fsck)
因为Archinstall默认使用的是udev，我将其改成systemd，所以后面的也一起用sd的了
然后arch-chroot /mnt mkinitcpio -P来重新生成一下
'此事在Archwiki的dm全盘加密之中亦有记载'

第2.1步：
重启进bios，把安全启动开了并且进入配置模式（bios中的名称可能不一样，但总体来说是这个）
然后进系统
使用'sbctl status'检查一下
应该会显示下面这样的
Installed: ✓ sbctl is installed
Setup Mode: ✗ Enabled
Secure Boot: ✗ Disabled
Vendor Keys: none

第2.2步：
sudo sbctl create-keys
sudo sbctl enroll-keys -m
创建密钥并用微软签名，注意，这里的-m几乎是必须的，除非你确定你的硬件没用微软签名的玩意以及确定不用Windows

插眼

看archwiki的帮助，试了试手动方法，搞的头晕眼花。还是sbctl比较傻瓜，还有pacman的钩子，很是方便。

正在当牛马，晚上更

偷偷摸鱼一下
2.3步:
sudo grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB --modules="tpm" --disable-shim-lock
重新安装grub引导，开启对安全启动的支持
sudo sbctl sign -s /boot/EFI/GRUB/grubx64.efi用这个命令给GRUB引导签名
现在重启系统看看能不能进去

第3步：
sudo systemd-cryptenroll /dev/gpt-auto-root-luks --recovery-key
创建恢复密钥，以防止密码忘了之类的消愁事件
sudo systemd-cryptenroll --tpm2-device=auto --tpm2-pcrs=0+7 /dev/gpt-auto-root-luks
这是自动解锁使用LUKS加密的硬盘
现在理论上就和win下的bitlocker的体验一样了，开机自动解密硬盘

此贴终结，写的比较乱，但是大概流程是这样的，不知道为什么网上搜出来LUKS自动解锁+安全启动的教程都是让用uki

挖个坟，最好在tpm2_pcrs加入与grub配置文件，启动参数验证的相关pcr寄存器，否则可以非法修改配置文件，或者单用户模式下无需验证获得root。参考：www.suse.com/c/full-disk-encryption-grub2-tpm/