Eu tenho olhado para a criptografia do sistema com o ArchLinux e eu acho que ele tem muito bem resolvido, mas eu tenho uma pergunta sobre a partição / boot. Uma vez que o sistema é inicializado, é possível desmontar a partição / boot e permitir que o sistema continue a rodar?
Meu pensamento era instalar / inicializar em um dispositivo USB, já que ele não pode ser deixado criptografado e, em seguida, inicializar a partir do dispositivo USB que inicializaria o disco rígido criptografado. Então eu posso tirar a chave USB e usar o sistema normalmente.
O motivo pelo qual quero fazer isso é porque, se um invasor conseguisse acesso físico à máquina, poderia modificar a partição / boot com um registrador de pressionamento de tecla e roubar a chave e se já tivessem uma cópia dos dados criptografados eles poderiam apenas sentar e esperar pela chave. Acho que poderia criar um sistema de verificação de que a inicialização não foi tocada em cada inicialização.
Isso já foi feito antes? Alguma orientação para implementá-lo sozinho?
Sim, é possível e até recomendado se você criptografar a unidade.
A única coisa que você precisa lembrar é conectá-lo quando fizer atualizações de kernel. O resto é simples, você particiona o pendrive USB, instala o GRUB (ou LILO) nele, define a /boot partion como UUID ou LABEL no parâmetro root= na configuração do carregador de inicialização e você deve ter uma solução de trabalho. / p>