Я смотрел на системное шифрование с ArchLinux, и я думаю, что мне выяснили его в значительной степени, но у меня есть вопрос о / разделе начальной загрузки. После того как система загружается, действительно ли возможно размонтировать / раздел начальной загрузки и позволить системе продолжать работать?
Моя мысль состояла в том, чтобы установить начальную загрузку / на карте с интерфейсом USB, так как это нельзя оставить зашифрованным и затем загрузиться от карты с интерфейсом USB, которая загрузила бы зашифрованный жесткий диск. Затем я могу вынуть флеш-карту и просто использовать систему в качестве нормальной.
Причина, которую я хочу сделать, это вызвано тем, что, если взломщик смог получить физический доступ к машине, они могли бы изменить / раздел начальной загрузки с регистратором нажатия клавиш и украсть ключ и если бы у них уже была копия зашифрованных данных, то они могли бы просто расслабиться и ожидать ключа. Я предполагаю, что мог придумать систему проверки, что начальная загрузка была нетронутой при каждом запуске.
Это было сделано прежде? Руководство реализацией его самостоятельно?
Да, возможно и даже рекомендуемое при шифровании диска.
Единственная вещь, которую необходимо помнить, состоит в том, чтобы соединить его, когда Вы делаете обновления ядра. Остальное просто, Вы делите карту с интерфейсом USB, устанавливаете GRUB (или LILO) на нем, устанавливаете /boot
партон как загрузочное использование UUID или МАРКИРОВКА в root=
параметр в загрузчике конфигурируется, и у Вас должно быть рабочее решение.