Исправление altwazar, (текущая версия) :
Короче как ни крути отказываться от нормального FDE это либо кино на кухне либо экономия на спичках.
+1. Помимо efi раздел с ядрами еще имеет смысл выносить, но отказ от шифрования корня профита почти не дает, но несет с собой проблемы и сильно усложняет схему защиты данных.
Есть немного смысла в том, чтобы разделить шифрование корня и данных пользователя. Тогда можно использовать tpm для запуска системы без ввода пароля, а получать доступ к /home во время логина. Это открывает возможность к удаленному запуску системы (хотя порой можно и dropbear обойтись) и ноутбук себя случайно в сумке не прожарит. Но надо далеко не каждому и схема получается мудреная, да и удобство порой теряется (сабволумы btrfs отдельно друг от друга нормально не зашифруешь).
Исходная версия altwazar, :
Короче как ни крути отказываться от нормального FDE это либо кино на кухне либо экономия на спичках.
+1. Помимо efi раздел с ядрами еще имеет смысл выносить, но отказ от шифрования корня профита почти не дает, но несет с собой проблемы и сильно усложняет схему защиты данных.
Есть немного смысла в том, чтобы разделить шифрование корня и данных пользователя. Тогда можно использовать tpm для запуска системы без ввода пароля, а получать доступ к /home во время логина. Это открывает возможность к удаленному запуску системы и ноутбук себя случайно в сумке не прожарит. Но надо далеко не каждому и схема получается мудреная, да и удобство порой теряется (сабволумы btrfs отдельно друг от друга нормально не зашифруешь).