Не так давно решил обезопасить свое железо от разных нехороших людей, потихоньку начал к этому приступать. LVM поверх LUKS настроил, все работает. Теперь приступил к настройке SELinux, но и этого мне показалось мало. Захотелось сделать так, чтобы абсолютно ничего, кроме моего подписанного ядра на ноуте не загружалось. Ведь именно на это и делали M$ упор, когда проталкивали Secure Boot, чтобы ничего, кроме винды и продажных подписанных дистрибутивов, железо не воспринимало. Хочу сделать так же, но в обратную сторону. А то всунет нехороший дядя свою флешку, загрузится и что-нибудь сделает. Интересует способ подписывания ядра и создания ключей (на данный момент их в ноуте нет). Нужно ли подписывать initramfs (без него не расшифровать LUKS раздел)? Если да, то как?