[sisyphus] Как установить систему на зашифрованный диск?

[Leonid Krivoshein]

10.03.2018 02:32, Vladimir D. Seleznev пишет:
> On Fri, Mar 09, 2018 at 09:46:10PM +0100, Michael A. Kangin wrote:
>> Спасибо большое, попробую в следующий раз.
>>
>> On 03/09/2018 06:01 PM, Vladimir D. Seleznev wrote:
>>
>>> Минусы обоих вариантов: на текущий момент ключ дешифровки лежит в
>>> файловой системе в открытом виде и защищён только правами доступа. Если
>>> это неприемлемо, то подойдёт только схема LVM на LUKS.
>> Наверное можно будет допилить features/luks, чтобы умела спрашивать
>> пароль на ключ. Тогда ключ можно будет хранить в
>> (файло|дивайсо)-контейнере LUKS.
>> Я использую сейчас такую схему на паре компьютеров.
> Были такие попытки, но сходу возникли трудности с gnupg внутри initrd.
> Тем не менее, я хочу эту возможность, и продолжу ей заниматься, когда
> будет время.

Не вижу большого смысла в шифровании исходных системных разделов. В 
initrd их можно монтировать read-only и шифровать только оверлеи. LUKS 
хорош и плох своими стандартизированными заголовками. То есть не надо 
доказывать, что раздел является крипто-контейнером. Лечится отделением 
LUKS-заголовков либо использованием plain-шифрования. Для второго 
варианта подойдут только собственные скрипты в initrd. Идеальный вариант 
- грузиться со стика с неизвлекаемым ключом, доступ к которому 
осуществляется по паролю или пин-коду. Такой схемы можно достичь, не 
прибегая к шифрованию в процессе инсталляции, ограничившись 
резервированием места на диске для оверлеев в процессе инсталляции.


-- 
Best regards,
Leonid Krivoshein.