Шифрировать весь диск целиком, или определенные разделы? Какие нюансы при таком раскладе?

Если зашифровать весь диск, то uefi не сможет прочитать с диска образы загрузчика или ядра, а если использовать загрузчик grub (lilo), то загрузчик не сможет прочитать свои файлы, в случае grub, а в последствии не прочитает и образ ядра.

Определись со схемой шифрования. Я использую LVM on LUKS, т.е. все системные разделы, кроме /boot, на одном шифрованном разделе.
Всё это хорошо описано в вики. Лично я держу такую схему разделов:

sda
├─sda1         /boot
└─sda2         -- зашифрованный luks
  └─lvm        
    ├─lvm-swap [SWAP]
    ├─lvm-root /
    └─lvm-home /home

Т.е. в этом случае сначала создаёшь два раздела - /boot и большой на остальное место. Я для этого юзаю gdisk. Потом на второй настраиваешь шифрование. Далее там настраиваешь lvm-разделы. На lvm-разделах создаёшь ФС и включаешь все опции (для TRIM и т.п.).

Опция Трим настраивается на самом luks-e, а не в lvm.

Очень сомневаюсь, что для ноутбука нужен LVM, ведь вряд ли будут подключаться другие диски.

Да и вообще разбивать диск на разделы, зачем? Пусть будет один корень.

Можно выделить один раздел для grub, один раздел для /boot, и один большой зашифрованный раздел с корнем

В строке загрузки ядра прописать нечто вроде: cryptdevice=/dev/sdb3:cryptroot:allow-discards root=/dev/mapper/cryptroot

Прошу прощения за дезу, не знал. Мне казалось, это чисто FS-фича.

LVM в данном случае лишь для того, чтобы все разделы упихнуть под один криптораздел. Отдельный хомяк позволит в случае чего переустановить ось без таскания данных туда-сюда. Ну и swap-раздел по желанию.

один раздел для grub, один раздел для /boot

На кой ляд grub'у отдельный раздел, о чём вы? И у ТС EFI, он может вообще без загрузчика обходиться, как белый человек.

trim нужно включить и в fs (discard или fstrim по cron'у) и в luks. в lvm discard нужен чтобы делать trim удаляемым логическим томам.

еще учти, что используя программное шифрование ты возможно лишишься фичи sdd по сжатию данных. впрочем это не так важно, ssd берут ради iops, а не скорости чтения/записи.

Не очень понимаю, что это за операция такая — переустановить ОСь, зачем? Восьмой год использую Arch пока ничего не переустанавливал.

Да, с отдельным разделом под grub могу быть не прав, точно не уверен, нужно ли это. В моей кофигурации, кажется, используется отдельный раздел.

Мало-ли, всякое бывает. Дистр захочется сменить и т.п... Да и ресайзнуть пару lvm-разделов при желании можно, если на одном место к концу подходит.

В первый раз выбрал такие извращенные параметры. Нет, на арче я не сидел, но очень хочу.

Итак, я все выполнил, смонтировал, установил, подготовил. НО! Не получилось заставить грузиться UEFI прямо в ядро, пробовал разные способы примерно месяц назад. С тех пор простаивает система, ничего не делаю.

Не грузит конфиги

Как настроить систему чтобы UEFI грузил прямо в ядро? Арч ставлю по пунктам из вики:

1. разделы создал (/boot и все остальное)

2. криптораздел (LVM on LUKS) открыл криптораздел в нем создал разделы lvm

3. форматнул разделы, смонтировал

4. установил систему, отредактировал mkinitcpio.conf добавив туда encrypt и lvm2

5. запилил загрузчик командой bootctl install, отредактировал конфиги в esp/loader/loader.conf и esp/loader/entries/arch-encrypted.conf

6. выхожу из archroot, ребут

7. конфиги в esp/loader/entries/*.conf не найдены

Далее я уже ничего сделать не могу, кроме как зайти снова с флешки и начать устанавливать заново. Как научить его грузить ядро?

Вздор. GRUB2 умеет полнодисковое шифрование. И даже /boot. И даже поверх RAID+LVM.

А ну я хотел чтобы UEFI грузил ядро, разве так нельзя сделать?

Ну так всё же полнодисковое шифрование или файлы загрузчика не зашифрованы?

UEFI с шифрованного раздела ядро не загрузит, да.

Полнодисковое. Незашифрованными остаются только модули загрузчика, которые нужны для, собственно, расшифровки.

Ну так это не полнодисковое, кроме того, образ ядра и initramfs находятся обычно на той же файловой системе, что и файлы загрузчика, как следствие они тоже будут не зашифрованы. Так что получается собственно то, что я и сказал.

Нет, образ ядра и initramfs может также находиться на зашифрованном разделе.

[~]$ lsblk
NAME                MAJ:MIN RM   SIZE RO TYPE   MOUNTPOINT
sda                   8:0    0 465.8G  0 disk   
└─sda1                8:1    0 465.8G  0 part   
  └─md0               9:0    0 465.7G  0 raid10 
    └─system        253:0    0 465.6G  0 crypt  
      ├─system-boot 253:1    0   512M  0 lvm    /boot
      ├─system-swap 253:2    0     8G  0 lvm    [SWAP]
      └─system-root 253:3    0 457.1G  0 lvm    /
sdb                   8:16   0 465.8G  0 disk   
└─sdb1                8:17   0 465.8G  0 part   
  └─md0               9:0    0 465.7G  0 raid10 
    └─system        253:0    0 465.6G  0 crypt  
      ├─system-boot 253:1    0   512M  0 lvm    /boot
      ├─system-swap 253:2    0     8G  0 lvm    [SWAP]
      └─system-root 253:3    0 457.1G  0 lvm    /

Правда, у меня MBR и RAID10+LUKS+LVM, но от UEFI суть дела не должна меняться за исключением небольшого незашифрованного раздела FAT32.

У меня два раздела

sda
├─sda1         /boot
└─sda2         -- зашифрованный luks
  └─lvm        
    ├─lvm-swap [SWAP]
    ├─lvm-root /
    └─lvm-home /home

Нет, образ ядра и initramfs может также находиться на зашифрованном разделе.

Может, но в общем случае, все пакетные менеджеры дистрибутивов располагают образ ядра в директории /boot, т.е. там же, где находятся файлы загрузчика. Иное расположение нужно уже руками делать.

Ты же видишь, что в моей схеме /boot тоже зашифрован? Образ ядра и initramfs лежит в /boot.

Ты же видишь, что в моей схеме /boot тоже зашифрован?

Тьфу, да, плохо вчитался в вывод ) Не заметил, что /boot тоже в шифрованном контейнере system.

Образ ядра и initramfs лежит в /boot.

Файлы загрузчика на отдельной файловой системе, на флешке например? Или кода загрузчика, что находится в mbr и в 2048 байтах хватает, что бы произвести расшифровку контейнера для считывания образа ядра и initramfs?

Надо самому попробовать, конечно, настроить, но сразу спрашиваю у уже настроившего.

Файлы загрузчика на отдельной файловой системе, на флешке например? Или кода загрузчика, что находится в mbr и в 2048 байтах хватает, что бы произвести расшифровку контейнера для считывания образа ядра и initramfs?

Нет. Между таблицей разделов и началом первого раздела есть пара мегабайт, куда GRUB2 встраивает свои модули для работы с RAID, LVM и LUKS. Этого хватает. И при этом зашифрованным остаётся не только ядро с initramfs'ом, но и даже само меню. Т.е., вообще всё, кроме собственно модулей дешифрования.

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

2048 байтах

2048 секторов или 1 мегабайт. Этого с головой хватит даже для очень наркоманской конфигурации GRUB.

Да, да, это номера секторов.

Спасибо за ссылку и пояснение.

Я ОП. Пишу с анонима. Вот смотрите, есть джва раздела — бут и зашифрованный с lvm. Загрузчик systemd-boot. Конфиг в $esp/loader/entries/arch-encrypted.conf прописал такой:

title          Arch Linux (Encrypted)
linux          /path/to/vmlinuz-linux
options        initrd=/path/to/initramfs-linux.img cryptdevice=UUID=<UUID>:luks-<UUID> root=UUID=<luks-UUID> rw