Por que você deseja criptografar /boot
?
Apenas mantenha-o descriptografado. Não há nada nesse diretório (partição) que você precise manter privado em qualquer cenário.
É uma prática padrão para a criptografia de discos completos no Linux ter um LVM totalmente criptografado mais uma partição de inicialização não criptografada. Se um invasor estiver em condições de adulterar o conteúdo de /boot
, ele já terá acesso direto ao seu computador. Isso significa que você pode praticamente considerar o dispositivo comprometido de qualquer maneira (se esse for o seu modo de paranóia). Não há nada que um sistema operacional possa fazer para ajudar nesse cenário. Se esse for seu perfil de ameaça, você precisará executar etapas adicionais (físicas) para proteger seus dados. Caso contrário, mantenha apenas /boot
como está.