[Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Tue, May 31, 2016 at 01:22:08PM +0300, Serge R wrote:
> >>Не шифрованный /boot как то может влиять на взлом шифрованных разделов?
> >Теоретически это тоже стартовая площадка, практически же такую
> >работу я бы пытался начинать скорее со своего загрузочного
> >носителя.
> Планируется ли реализация в дистрибутиве шифрованного /boot?

Мной пока не планируется за отсутствием видимого смысла --
если кто-либо заинтересован сделать, видимо, начинать надо
будет с выяснения текущей ситуации поддержки в grub2.

> Появилось еще пара вопросов по шифрованию:
> 1) При шифровании с aes-xts-plain64 нет поддержки этого
> алгоритма при загрузки системы.  Как добавить этот модуль
> в initrd? (работает только с aes cbc-essiv:sha256)

Например, указать в MODULES_ADD в /etc/initrd.mk

> 2) Можно ли реализовать ввод пароля только на корневом разделе,
> а остальные разделы расшифровываются по ключу?

Это надо смотреть документацию cryptsetup и, возможно,
https://bugzilla.altlinux.org/show_bug.cgi?id=28255#c41
-- сам не сталкивался.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info