Комментарии 8
Сразу комментарий: не зашифрованного загрузочного раздела не должно быть. Грузить следует с флешки носимой отдельно. Иначе загрузочный раздел может быть модифицирован и записать куда-то ключи шифрования при следующем доступе. Это касается как и физической безопасности, там и потенциальной работы ПО внутри зашифрованной системы. Бут-раздел не должен иметь возможность подмены ни снаружи, ни изнутри. Конечно, технология доверенной загрузки (TPM) призвана эту проблему решать, но её считай нет. Поэтому носитель с boot-разделом проще иметь внешним.
Полностью согласен. Я написал в статье о возможности эксплоита в незашифрованный загрузочный раздел. Такое решение, скорее, спасает от людей не имеющих знания в этой области, но получивших доступ, например, к твоему ноутбуку. Познания TMP и SecureBoot у меня нет, если заинтересуюсь, напишу продолжение этой статьи с использованием этих технологий.
И LVM в этом всём не очень нужен. Он нужен когда 50 разделов и файловая система ресайзится умеет. А не когда /boot и /root. Если всё свалить на одну файловую систему lvm вообще не очень актуален.
Сейчас 2023, некоторые ноуты/материнки уже и не умеют грузится в легаси режиме.
Так что лучший сейчас подход - незашифрованный /boot, но подписанный инитрамфс + ядро Secure Boot + хранение части ключа в TPM. Ядро с инитрамфс пакуется в единое efi приложение и подписывается.
Это сделает невозможным скрытую модификацию бут раздела и сброс настроек UEFI для отключения secure boot.
хороший ман, только уже сейчас идёт выпил поддержки mbr и legacy boot из систем, поэтому лучше делать через uefi gpt. и в реальном использовании отсутствие systemd приводит к многим проблемам с разным софтом и дополнительному времени на подстройку кусков системы, например pipewire не очень дружит с другими инитами.
Насчет отсутствия mbr и legacy boot в некоторых системах, согласен. В данном случае мне стоило добавить, что в целях безопасности некоторые люди используют coreboot.
Насчет отсутствия systemd. Если ты сознательно не используешь systemd, то ты готов решать проблемы несовместимости. Во многом это имхо о "не безопасной системе инициализации".
Artix Linux. Установка с полным/частичным шифрованием