LINUX.ORG.RU

Шифрование всего диска: подводные камни

 , ,


0

3

Добрый день! Я только что в виртуалке попробовал установить Debian таким образом:

  • На диске - таблица разделов msdos и единственный раздел - физический том шифрования
  • Внутри шифрованого тома - физический том LVM
  • Внутри LVM - root и home

Оказалось, что с минимумом конфигурации (GRUB_ENABLE_CRYPTODISK=y в /etc/default/grub) система отлично загружается и работает, спрашивая пароль для расшифровки физического тома дважды: на этапе GRUB и на этапе initrd (если я правильно понял).

У меня возникло несколько вопросов. Пожалуйста, помогите в них разобраться или укажите на нужные маны.

  • Я предпочитаю систему ставить через debootstrap. Если вдруг я захочу установить систему по такому же принципу, то, ясное дело, сначала надо всё это создать и смонтировать, потом прописать расшифровку физ. тома в /etc/crypttab, обновить initrd, а вот что делать с настройкой GRUB? Как он поймёт, что именно ему надо расшифровывать, чтобы найти свои конфигурационные файлы и модули?
  • Я прочитал, что если используется SSD, то trim может привести к утечке информации об освобождённых блоках, достаточной для определения, какая внутри ФС. Это - единственное негативное последствие trim, или может что-то ещё утечь?
  • Какие могут быть проблемы от использования такой схемы шифрования?
  • Если я правильно понимаю, что во второй раз расшифровка происходит из initrd, то как организуется то, что физ. том остаётся расшифрованным после того, как загрузится уже полноценная система?

Заранее спасибо.

★★

Какие могут быть проблемы от использования такой схемы шифрования?

паяльник придётся засовывать глубже

anonymous ()
Ответ на: комментарий от anonymous

паяльник придётся засовывать глубже

Сначала поржал, а потом поразмышлял и приуныл.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.