Что мне нужно от full disk encryption-а? Простота, простота и ещё раз простота. Никаких нахуй паролей. Адын ключ на флехе. Люкс 1-2-3 сразу летит в помойку, даже думать не хочу. Остаётся plain режим dm-crypt-a. Очь просто и без лишних заморочек. Никаких таблиц разделов на винте. Никаких, боже упаси от этого говна, LVM-ов.
plain на /dev/sda. И прям на него xfs-ку. Ну или что-то ещё, по вкусу.
Никаких разбиений на разделы с ФС-ами. Винт на 256 гиг, что тут можно и зачем разбивать.
Что мы имеем на сегодня при данных условиях. Начнём с загрузчика. Grub понимает только luks1. Но, один очь охрененный товарищ, уже давно пропатчил его и заставил понимать plain и luks2 c выносом заголовков.
Поэтому такой вот груб просто необходим. А где он есть, правильно, нигде его нету. Кроме.. арча.
Моя любимая федора (29 на данный момент) поддерживает всё тот же luks1 при установке. В следующем релизе обещают завезти luks2. И это при том, что ядро будет вынесено на отдельный незашифрованный раздел.
Поэтому, прощай федора, здравствуй арч, что уже давно нужно было сделать. И сделать это нужно было хотя бы потому, что самый адекватный источник с документацией по Линуксу сейчас, это ArchWiki. То говно, которое из себя представляет вики Федоры даже упоминать не хочется.
Короче, в ауре есть патченный граб, который без проблем ставится при установке. И, внимание, позволяет грузиться с полностью зашифрованного диска. Без необходимости выносить /boot с ядрами на флешку.
На флешке останется только сам загрузчик и ключ. А значит её можно перманентно держать в ro режиме. До кучи записав туда какой-нибудь sysresccd, для удобства на всяк пож.
Дёшево, надёжно и практично. А в случае чего (кто-то страшный в маске зачем-то пилит железную дверь болгаркой), флешку ну или микросд карточку можно оперативно извлечь, засунуть в задницу, съесть, поджарить в микроволновке или просто смыть в унитаз — по вкусу.
Шифрование, напомню, в данном случае нужно только для того, что бы оперативно выкинуть диск в помойку не тратя время на wipe.
plain на /dev/sda. И прям на него xfs-ку. Ну или что-то ещё, по вкусу.
Никаких разбиений на разделы с ФС-ами. Винт на 256 гиг, что тут можно и зачем разбивать.
Что мы имеем на сегодня при данных условиях. Начнём с загрузчика. Grub понимает только luks1. Но, один очь охрененный товарищ, уже давно пропатчил его и заставил понимать plain и luks2 c выносом заголовков.
Поэтому такой вот груб просто необходим. А где он есть, правильно, нигде его нету. Кроме.. арча.
Моя любимая федора (29 на данный момент) поддерживает всё тот же luks1 при установке. В следующем релизе обещают завезти luks2. И это при том, что ядро будет вынесено на отдельный незашифрованный раздел.
Поэтому, прощай федора, здравствуй арч, что уже давно нужно было сделать. И сделать это нужно было хотя бы потому, что самый адекватный источник с документацией по Линуксу сейчас, это ArchWiki. То говно, которое из себя представляет вики Федоры даже упоминать не хочется.
Короче, в ауре есть патченный граб, который без проблем ставится при установке. И, внимание, позволяет грузиться с полностью зашифрованного диска. Без необходимости выносить /boot с ядрами на флешку.
На флешке останется только сам загрузчик и ключ. А значит её можно перманентно держать в ro режиме. До кучи записав туда какой-нибудь sysresccd, для удобства на всяк пож.
Дёшево, надёжно и практично. А в случае чего (кто-то страшный в маске зачем-то пилит железную дверь болгаркой), флешку ну или микросд карточку можно оперативно извлечь, засунуть в задницу, съесть, поджарить в микроволновке или просто смыть в унитаз — по вкусу.
Шифрование, напомню, в данном случае нужно только для того, что бы оперативно выкинуть диск в помойку не тратя время на wipe.
