硬盘上的Grub2在USB上加载grub2

Question

从数据安全和物理安全的角度来看，我正在采取措施保护我的笔记本电脑。

目前，我已经通过安装程序设置了带有LUKS的完整磁盘加密--根据安装程序的默认值，这几乎是一种普通的配置，它有一个未加密的引导分区，要求我解锁磁盘。

在我的笔记本电脑被偷的情况下，我目前没有任何东西可以帮助我/警察找回它。出于这个原因，我想配置一个蜂蜜陷阱，如果小偷启动了笔记本电脑，它将允许笔记本电脑运行猎物。

为了做到这一点，我想把标准的GRUB，内核和inital移动到USB上，我会一直随身携带。我会在我的笔记本电脑上安装一个微内核Linux (或者我敢说是Windows)的拷贝，只有当我没有插入我的USB手柄时才会启动。

为了阻止潜在的窃贼擦除硬盘驱动器，我将应用BIOS密码，并禁用从外部设备启动。显然，这不会阻止他们移除硬盘和擦除它，但这是对一个低级别的小偷的一步。

如果我这样做，我将无法从我的USB启动-所以我需要一种方式链式加载我的USB上的GRUB从我的硬盘上的GRUB。

这有可能吗?如果有，我如何才能这样做/在哪里可以找到合适的文档？我看过的任何地方都建议使用PLoP、LILO或其他软件，而我确信这应该可以单独使用GRUB。

类似地，我可以使用UEFI安全引导将引导限制在我的蜂蜜陷阱和“真”内核和初始trap上，但是我的笔记本电脑与UEFI不兼容:(

类似地，这可能是一个X/Y问题，所以如果你认为我这样做是错误的，你可以随意建议改变。

Answer 1

我认为您可以尝试在usb键上挂载/boot分区，但是让引导加载程序在内部驱动器MBR中加载。我非常肯定，您可以使用Ubuntu安装程序来配置类似的内容:可以将几乎任何点安装到任何分区，并且可以在wich中选择MBR。

这样，Bios将在内部驱动器上找到MBR，因此可以禁用外部驱动器引导。

下面是关于Grub 2的完整文档的链接：http://www.gnu.org/software/grub/manual/grub.html，也许你应该看看它，看看你是否可以制作一个Grub脚本来检查你的usb是否可用。如果是的话，它将启动Grub菜单中的主系统条目作为默认设置。如果不是，它将以“微核心Linux”和“猎物”开始条目。

另外，您应该在Freenode IRC上使用#grub。

Answer 2

隐藏带有Hide选项的GRUB引导菜单，让默认的引导选项成为你的猎物安装，密码保护菜单。启动它时，在延迟期间按“转义”，输入密码，并启动常规安装。有人偷了它，它会直接引导到猎物，甚至没有看到有其他的启动选项。

现在你不必担心失去你的USB驱动器。

如果你真的想在USB驱动器上有额外的说明，不要担心链式加载。Instad只是将备用grub.cfg放在您的拇指驱动器上，并使用configfile指令加载它。Grub2有路径的选项卡完成，因此找到它应该相对容易。由于您必须输入密码才能启动，所以只要按c表示命令行并将其指向第二个配置文件，就不会大大增加启动的难度。