Ok, então, de fato 600
permissões são consideradas boas e a única boa prática para proteger um arquivo-chave (fonte: archwiki ).
Além disso, o mais complicado aqui é que, quando o kernel é atualizado, o procedimento de geração initramfs
redefine a permissão do arquivo de chave para 644
, que basicamente permite despejar seu conteúdo.
Isso significa que, após cada atualização do kernel, o conjunto de permissões correto deve ser restaurado pelo usuário.