Есть ли необходимость в шифровании /boot?

Паранойя, или это действительно так?

Такое можно провернуть.

Если не рассматривать вариант, когда у злоумышленника есть физический доступ, то можешь просто монтировать /boot в read only режиме (или вообще не монтировать) — тогда просто так прописать зловреда не получится. Только при обновлении придется ручками все монтировать.

Ну и без root'а злоумышленник тоже бессилен.

Ну и еще накину для твоей паранойи: в MBR загрузчик тоже можно вирус прописать (только если у тебя не UEFI).

Кстати, если используешь UEFI + Secure Boot, то в initramfs зловред не пройдет неамеченным.

Ну и без root'а злоумышленник тоже бессилен.

Я вижу это как-то так: злоумышленник грузится со своего носителя, меняет initramfs так, чтобы после разблокировки томов в корневую ФС копировался какой-то скрипт и прописывался в автозапуск. Как ему тут поможет/помешает наличие root?

Правда, я вот какую возможность вижу: на BIOS ставится хорошенький пароль. Загрузиться со своего носителя враг уже не может. Если он использует физ.доступ и сбрасывает пароль BIOS, то это не останется незамеченным и тогда я просто заселяю /boot с нуля, загрузившись с безопасного носителя.

Кажется, я нашёл применение Secure Boot...

Когда закончу затирать свой диск, пойду изучать вопрос.

Как ему тут поможет/помешает наличие root?

С физическим доступом никак конечно. Но это как-то сильно сложно, проще применить терморектальный криптоанализ.

Ну от терморектала ничто не спасёт (кроме длинного ключа на отдельном носителе). Итак, моё видение расклада, который обеспечит максимальную безопасность: пароль на BIOS/UEFI, шифрование всего, кроме /boot. Как результат, враг имеет минимальную возможность загрузиться со своего носителя (вскрыть корпус - сбросить пароль), если ему это удаётся - то он может только внедрить зло в мой initramfs (и сработает этот метод только если я ничего не замечу). Если же он не может вскрыть корпус и сбросить пароль, то ничего он не сделает. Если комп украден, то он ничего не сделает без пароля от дисков в любом случае.

Пароль на BIOS не поможет. Не обязательно его сбрасывать, можно вынуть диск и залить зловреда не другом компе.

Как страшно жить.

Лучше на флешке носить, с запакованным в initramfs ключем(запароленным) и init-сценарием.

/boot на флешку, ту всегда с собой.

Опередил.

А как ты грузиться собрался с зашифрованного /boot ? Если только полное шифрование винта в биосе/uefi

grub2 умеет каким-то образом. кажется.

Раздел /boot размещай на съёмном носителе.

враг может насрать мне в initramfs и через оный внести какой-то скрипт в мою основную систему

Откуда у вас столько врагов? Да еще и настолько грамотных?

У меня /boot тоже вынесен на флеш. Только дополнительно образ ядра и initramfs подписаны GPG. Открытый ключ в свободном доступе.

Если он использует физ.доступ

Если он использует физический доступ, то он дампит содержимое NVRAM, меняет там нужные байты и копирует обратно. Пароль BIOS — это защита от дурака, не более того. Никто не подписывает твоим паролем NVRAM.

Если он использует физический доступ, то он дампит флеш, реверсит его и отключает там все мешающие ему проверки.

Если он использует физический доступ, то он…

Короче, от adversary с физическим доступом защититься невозможно.

можно вынуть диск и залить зловреда

Добавь в зашифрованную часть сохранение счётчика запусков диска из смарта, и стирай в панике всё, если он вырос больше, чем на 1. Поможет, если «они» не догадаются заменить контроллер(или где там оно хранится) перед внедрением своего кода в загрузчик(т.ч. не рассказывай никому).

Ещё можно завести себе привычку менять ключи шифрования при каждом сеансе; тогда подсмотреть ничего не даст, если будет некуда сливать данные до повторной кражи. Но трудно обеспечить, чтобы оно успевало перешифровать большие диски, и без свободного места как-то неуютно.