LUKS sans partition de démarrage

Question

Je me souviens d'avoir lu une entrée de blog sur laquelle quelqu'un chez Canonical travaillait pour faire fonctionner LUKS sans partition de démarrage pour 17.04. Cependant, quand j'ai fait une nouvelle installation de 17h10, je n'ai rien trouvé. Je sais qu'il est possible de faire en sorte que grub gère le chiffrement LUKS et puisse probablement le pirater moi-même, mais est-ce que quelqu'un sait ce qui est arrivé à ce travail? J'ai cherché pendant un moment et je n'ai pas trouvé l'entrée de blog.

Kaz Wolfe · Answer

En supposant que vous utilisez un système EFI, la partition système EFI (généralement la première partition de votre disque montée sur /boot/efi) sera toujours doivent être déchiffrés pour que votre système puisse se charger dans GRUB.

Cependant, vous pouvez maintenant coller /boot lui-même dans LUKS. Un guide pour cela est disponible dans cette réponse sur le site, cependant, il y a quelques mises en garde:

Chaque fois que vous mettez à jour votre noyau/GRUB, vous devez le "réinstaller" sur votre système et vous assurer que tout le reconnaît. Autant que je sache, il n'y a pas de hook automatisé.
GRUB n'acceptera pas entièrement LUKS. Si je me souviens bien, le mot de passe sera demandé à partir de là, mais il ne remplacera pas LUKS.
À ce que je sache, cette configuration a un potentiel très décent de percée de manières potentiellement étonnantes.

Pour être honnête, il n'y a pas ou peu de raison de coller réellement /boot à l'intérieur de LUKS. Cela provoque juste un peu de douleur inutile et rend la vie bien pire pour un gain minime. Le principal risque (altération du noyau) peut facilement être atténué par à l'aide de Secure Boot pour signer le noyau et ses modules. Si vous voulez exécuter cette application de signature numérique, , veuillez lire l'intégralité de la page du wiki liée.