История изменений

Советую перестать баловаться с пропиетарщиной. А то мало ли, вдруг вся эта байка о самошифрованных дисках – даже не байка, а легенда, а на самом деле оно нужно для стрижки купонов с бизнесменов. Корпорасты – они такие.

Предлагаю следующую схему:

• Диск 1 – системный:

  • EFI-раздел: FAT32, /efi.

  • Шифрованный (здесь и далее – LUKS1, ибо /boot не отдельно) раздел под корень и файл подкачки, либо же шифрованный LVM под отдельно "корень" и отдельно раздел подкачки.

• Диск 2 – данные:

  • Либо нужное количество шифрованных разделов, либо шифрованный LVM.

Всё это добро потом можно единовременно расшифровывать при загрузке с помощью файла-ключа, добавленного каждому шифрованному разделу и /etc/crypttab. Если при этом ещё и подписать EFI-загрузчик (или как там делается, тонкостей не ведаю, ибо подписыванием не пользуюсь), то машина становится куда менее доступной для взлома (при условии применения правила chmod 600 к initramfs-образам).

Советую перестать баловаться с пропиетарщиной. А то мало ли, вдруг вся эта байка о самошифрованных дисках – даже не байка, а легенда, а на самом деле оно нужно для стрижки купонов с бизнесменов. Корпорасты – они такие.

Предлагаю следующую схему:

• Диск 1 – системный:

  • EFI-раздел: FAT32, /efi.

  • Шифрованный (здесь и далее – LUKS1, ибо /boot не отдельно) раздел под корень и файл подкачки, либо же шифрованный LVM под отдельно "корень" и отдельно раздел подкачки.

• Диск 2 – данные:

  • Либо нужное количество шифрованных разделов, либо шифрованный LVM.

Всё это добро потом можно единовременно расшифровывать при загрузке с помощью файла-ключа, добавленного каждому шифрованному разделу и /etc/crypttab. Если при этом ещё и подписать загрузчки (или как там делается, тонкостей не ведаю, ибо подписыванием не пользуюсь), то машина становится куда менее доступной для взлома.