Шифрование диска в линуксах

А что, есть какой-то обширный выбор?

dm-crypt?

Не знаю, где в реальности может понадобиться использовать dm-crypt напрямую.

P.S. Ответ на твой вопрос кроется в первом тэге.

LUKS? ArchWiki говорит, что там хуже с устойчивостью к повреждениям.

Хуже по сравнению с чем?

По сравнению с dm-encrypt

Plain dm-crypt encryption can be more resilient to damage than LUKS, because it does not rely on an encryption master-key which can be a single-point of failure if damaged.

Из этого ты должен сделать вывод, что нужно иметь резервную копию заголовка, а не что нужно использовать голый dm-crypt.

Бэкапы это ведь не отменяет. В ФС тоже есть много single-point of failure.

Тут правильно написали, что это – стандартное решение.

Сам страдал таким недавно. Алгоритм прост: Делаешь три раздела:

• ESP
• luks1 - внутри grub2 на ext4 (грузиться с f2fs не умеет), ключа два: твоя фраза (ал-ля «обезьянка прием-прием») и файлик, сгенерированный примерно как openssl rand -hex 64 >> bootloader.key (под рукой линя нет, могу ошибаться), который кладешь куда-нибудь в /etc/keys/
• luks2 - root, только root.key по аналогии с bootloader.key, внутри может быть что угодно, главное не забудь в grub_cmdline указать root=/путь/к/корню

Далее добавляешь root.key в initramfs, в grub2 пишешь cryptkey=rootfs:/путь/к/root.key. /boot добавляешь в crypttab.

В итоге у тебя только нешифрованный ESP. Там один файлик, который я подписываю своими ключами (https://www.rodsbooks.com/efi-bootloaders/controlling-sb.html), и чтобы grub2 не ругался, я делаю sed -i ‘s/SecureBoot/SecureB00t/’ grubx64.efi (см. https://wejn.org/2021/09/fixing-grub-verification-requested-nobody-cares/)

Ещё почитай это: https://habr.com/ru/post/457542/

Альтернативно, можно просто свалить /boot и / в один luks1-контейнер, но у меня ssd, я хочу флаги –perf-чего_то_там.

luks1 - внутри grub2 на ext4

Зойчем? /boot на ESP хватит всем.

Мне нужен luks2. Вводить фразу по 100 раз - лень. Ключик от luks2 (т.е. всей системы) в initramfs. initramfs в… нутыпонял.

нутыпонял

Нет, не понял.

У меня ключ от luks2 в initramfs. initramfs в /boot. Поправь меня, если я заблуждаюсь, но хранить initramfs где-то кроме /boot бессмысленно.

У меня ключ от luks2 в initramfs

Зачем?

inb4: «Чтобы не вводить заново пароль для / после открытия /boot»

А /boot тебе зачем зашифровывать?

Товаrисчь, кто-то из нас дико тупит и мне кажется, что это не я. Читай моё первое сообщение.

Читай моё первое сообщение.

От этого не становится понятнее, зачем тебе шифрованный /boot, key-файлы и три раздела, когда можно обойтись двумя разделами и одним паролем.

Grub2 не может грузиться с luks2.

GRUB Boot Loader Adds Support For LUKS2 Encrypted Disks (10.01.2020).

Хорошо. Можно ли положить на незашифрованный /esp systemd-boot и зашифровать /boot? Я не хочу использовать граб.

не может грузиться с luks2

Я знаю, что GRUB не умеет расшифровывать /boot-раздел, находящийся в LUKS2. Но зачем тебе /boot-раздел в LUKS?

Я когда гуглил тоже на это наткнулся. Нет, не поддерживает. Ставил arch в марте.

systemd-boot не умеет в шифрованный /boot (но оно и не сильно нужно).

За тем, что у меня пароль от luks2 в initramfs.

Вариантов по сути нет - есть только cryptsetup в разных режимах: LUKS1, LUKS2 и plain mode (то, что называется dm-crypt). Технически можно использовать любой вариант, для новичка лучше LUKS2 с обязательным бэкапом заголовка.

А чем вам граб-то так не нравится? Загрузчик один раз поставил и забыл, нет?

А что мешает, вместо того чтобы сначала вводить пароль от /boot и открывать хранящимся там ключом /, сразу вводить пароль от /?

Эмм… Тем, что у меня /boot отдельный шифрованный раздел.

Наша песня хороша, начинай сначала. Зачем шфировать /boot/ и вообще отделять его от ESP?

initramfs на /boot/. В initramfs пароль от /, где у меня все данные. Так же в /boot/ у меня vmlinuz и ещё парочка файлов, которые надо защищать от подделки либо через secureboot, подписывая их заново при каждом обновлении, либо держа их на шифрованном /boot/. Я не понимаю откуда у тебя вопрос к шифрованию /boot.

Короче, не осилил pacman-hook (справедливости ради, я не только на рачике сижу.).

Вообще, чем больше я об этом думаю, тем больше я сам задаюсь вопросом, на кой чорт я так делаю. Возможно, надо осилить pacman-hook

которые надо защищать от подделки либо через secureboot, подписывая их заново при каждом обновлении, либо держа их на шифрованном /boot

Так Secure Boot может гарантировать защиту лишь от устанавливающейся в загрузочные файлы малвари. Не подписывая initramfs/vmlinuz, ты только хуже делаешь. А для защиты от evil maid нужно нечто большее.

В AUR, случаем, хука для grub2, который бы подписывал файлы при обновлении, нет?

Понятия не имею.

Ок, спасиб, голова чутка прочистилась. Удачного те дня.

В этом дермище черт ногу сломит