Meine Ausführungen beziehen sich nur auf ein Setup mit UEFI als Bootmodus und Grub als Bootloader.
Solange man die ESP nicht für sonstiges braucht, dann reichen 100 MiB locker (Punkt 8). Bei einer bestehenden ESP muss man gar keine anlegen, sondern kann die bestehende nutzen.
Bei Grub ist die ESP traditionell unter /boot/efi eingehängt. Wenn sie unter /boot/efi eingehängt ist, dann kann man die Option --efi-directory
weglassen. Der Befehl, um Grub zu installieren lautet dann simpel und einfach: grub-install
ohne weitere Flags (Punkte 21, 22, 27).
A propos grub-install
: Bei UEFI wird die ESP entweder unter /boot/efi oder unter dem Pfad, der mit --efi-directory
mitgegeben wird, erwartet. Die Angabe eines Installations-Geräts (INSTALL_DEVICE in der Dokumentation) wird daher ignoriert. Zum Beispiel ein grub-install /dev/vda
wird bei UEFI vielleicht falsche Erwartungen schüren.
Wenn die ESP aber zum Beispiel unter /efi
eingehängt wird, dann müsste man das bei der Installation entsprechend angeben: grub-install --efi-directory=/efi
.
Bei einer verschlüsselten Installation ist GRUB_ENABLE_CRYPTODISK=y
nur nötig, falls /boot verschlüsselt ist. Wird die ESP nach /boot eingehängt, dann nützt die Variable nichts, da Grub ja auf /boot/grub und insbesondere /boot/grub/grub.cfg zugreifen kann. Im Umkehrschluss heisst das, dass eine verschlüsselte Installation mit der ESP als /boot nicht richtig vollverschlüsselt ist.
Zu beachten ist, dass Grub momentan noch nicht mit Argon (argon2i
) als PBKDF bei LUKS2 umgehen kann. Entweder man nutzt weiterhin LUKS1 oder man ändert die PBKDF (--pbkdf pbkdf2
).