Administrace komentářů

Je lepší zašifrovat úplně všechno, včetně kernelu a initramfs. GRUB dnes bez problémů podporuje LUKS, takže dnes už není problém mít všechno šifrované, včetně adresáře /boot.

Hlavním důvodem je známý typ útoku, při kterém útočník získá v tvé nepřítomnosti fyzický přístup k počítači a nepozorovaně pozmění data na disku.

Pokud nebudeš mít zašifrovaný celý disk, může útočník například zařídit, aby se mu při příštím spuštění tvého počítače zpřístupnila všechna tvá soukromá data. Nejjednodušší je podstrčit upravený /etc/bash.bashrc, který později zařídí vše potřebné, až se přihlásíš s odemčeným /home. Trochu méně nápadné by bylo podstrčit upravenou verzi některé z binárek, které většinou běží, když je /home odemčený a namountovaný, třeba shell nebo display manager.

Když budeš mít celý disk šifrovaný, tohle^^^ se nemůže stát.

(Malá poznámka stranou: Před pokusem pozměnit kernel a initramfs by tě ještě mohl zachránit SecureBoot, pokud máš na všech úrovních (EFI, shim, GRUB, kernel s podpisy) všechno správně nastavené a podepsané. Ale takový /etc/bash.bashrc, pokud vím, nikde podepsaný a kontrolovaný není.)

Další důvod, proč šifrovat celý disk, se tu řešil asi stokrát: Nejlepší je nedělit místo na disku. Když si disk zašifruješ kompletně, můžeš pak mít jeden velký filesystém s případnými subvolume, jeden velký sdílený prostor, kde nehrozí, že velikost nějakého oddílu bude špatně stanovená a na oddíle dojde místo, zatímco jinde spousta volného místa. Nepotřebuješ potom žádný /boot oddíl ani /home oddíl; obojí může být třeba subvolume, má-li to mít vlastní kvóty nebo snapshoty, ale to je asi tak všechno. Všechen diskový prostor (ať už z jednoho disku nebo klidně z více disků najednou) budeš mít k dispozici najednou a bez zbytečné fragmentace.

Résumé tedy je, že zašifrováním celého disku získáš:

1. odolnost proti některým typům útoků založených na dočasném fyzickém přístupu k hardwaru
2. nedělený diskový prostor bez zbytečných oddílů a starostí s tím souvisejících