Es ist - ohne großen zusätzlichen Aufwand - möglich, sein System einschließlich Boot-Partition zu verschlüsseln. Ein kleiner Nachteil besteht darin, dass man 2 Mal die Passphrase zum Entschlüsseln eingeben muss: Einmal unmittelbar nach dem Start, damit Grub das Menü vom verschlüsselten Laufwerk laden kann, und dann ein weiteres Mal beim Systemstart, so wie man es bisher bereits kennt.
Die Installation erfolgt wie im Artikel System verschlüsseln beschrieben - nur dass keine separate Partition für den Bootlader angelegt wird. Da der Installer keinen Bootlader direkt auf die verschlüsselte Platte installieren kann, empfiehlt es sich, die Installation im Terminal mit
ubiquity -b
zu starten, so dass erst gar kein Versuch unternommen wird, den Bootlader zu installieren.
Vor dem Neustart wird, wie beschrieben, ins verschlüsselte System gechrootet, und nach dem Anlegen der /etc/crypttab wird zusätzlich:
der Datei /etc/default/grub die Zeile
GRUB_ENABLE_CRYPTODISK=y
hinzugefügt
Wenn dies geschehen ist, wird auf der Kommandozeile Grub (neu) installiert
grub-install /dev/sdX
bzw. bei einem EFI-System (mit einhängter EFI-Partition)
grub-install
Anschließend werden Grub-Konfiguration und Initramfs aktualisiert
update-grub update-initramfs -u
Das wars. Nach dem Neustart muss zum Anzeigen des Grub-Menüs zunächst die Passphrase zur Entschlüsselung der Systemplatte eingegeben werden.
Man kann auch problemlos eine bestehende Installation umstellen, indem man bei laufendem System die /boot-Partiton aushängt und an anderer Stelle wieder einhängt
sudo umount /boot/efi sudo umount /boot sudo mount /dev/sdXY /boot
anschließend den Inhalt komplett kopiert
cp -pr /mnt/* /boot
Nun wird
die Zeile
GRUB_ENABLE_CRYPTODISK=y
in der /etc/default/grub ergänzt,
die Boot-Partition in der /etc/fstab auskommentiert
Grub neu installiert, und anschließend, genau wie das initramfs, aktualisiert
Wenn hier beim nächsten Start vor dem Grub-Menü nach dem Festplattenpasswort gefragt wird, kann man anschließend die separate Boot-Partition löschen. Dies wurde von mir auch mit einem LVM getestet.
Leider bin ich im Moment nicht in der Lage, diese Ergänzung ins Wiki zu schreiben. Vielleicht findet sich ja jemand anderes. Bei Fragen stehe ich gern zur Verfügung.