Исправление fehhner, (текущая версия) :
/dev/sda1 — раздел для образов .efi, не зашифрован, FAT32; /dev/sda2 — раздел /boot, зашифрован, LUKS1; /dev/sda3 — /, зашифрован, LUKS2.
А зачем это делать? Если у кого-то есть рут на твоей тачке, он получит все ключи через dmsetup table --showkeys. А вариант незаметного физического доступа стремится к нулю: просто запароль биос и отключи загрузку с юсб.
Исходная версия fehhner, :
/dev/sda1 — раздел для образов .efi, не зашифрован, FAT32; /dev/sda2 — раздел /boot, зашифрован, LUKS1; /dev/sda3 — /, зашифрован, LUKS2.
Если у кого-то есть рут на твоей тачке, он получит все ключи через dmsetup table --showkeys. А вариант незаметного физического доступа стремится к нулю: просто запароль биос и отключи загрузку с юсб.