只写与不加密安装不同的地方

硬盘准备

分区

sda1 /boot

sda2 /

加密主分区，不加密 /boot 启动分区。

cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

此步骤一定要输入大写的YES

解密主分区

cryptsetup open /dev/sda2 root

格式化主分区

mkfs.btrfs /dev/mapper/root

挂载主分区

mount /dev/mapper/root /mnt

格式化启动分区

mkfs.fat -F32 /dev/sda1

挂载启动分区

mount --mkdir /dev/sda1 /mnt/boot

设置 mkinitcpio

编辑 mkinitcpio.conf，找到 HOOKS，确保存在下面的内容

HOOKS=(base udev autodetect modconf kms keyboard keymap consolefont block encrypt filesystems fsck)

运行

mkinitcpio -P

引导

安装 grub 和 efibootmgr

运行 blkid -s UUID -o value /dev/sda2 命令获取 UUID

编辑 /etc/default/grub

GRUB_CMDLINE_LINUX=“loglevel=3 quiet cryptdevice=UUID=上面获取到的UUID:root root:/dev/mapper/root

参考

https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS

https://blog.ilolicon.com/archives/28