Ich nutze Komplettverschlüsselung (LUKS = ganze Festplatte) und Boot von USB Stick.
Schick. Bei einem Mehrbenutzersystem braucht dann allerdings jeder einen Bootstick. Ich werde vermutlich
bei der schlichten unverschlüsselten /boot-Partition bleiben
BIOS und bootloader schützen
die hashes der Dateien irgendwo auf der verschlüsselten Partition speichern
nach login gespeicherte und aktuelle hashes vergleichen.
Dann weiß ich zumindest, falls mein System kompromittiert ist.
der einzige Grund warum ich meine eigene selbstgestrickte Lösung fahre, ist weil ich genau wissen will, wie das funktioniert und wie ich im Ernstfall auch von einer xbeliebigen Live-CD aus an die Daten herankomme. Bei der Schlüsselableitung bzw. pam-mount bzw. was auch immer der Installer da für mich einrichtet, wäre mir das so ohne weiteres nicht so genau klar.
Die pam-mount-Lösung scheint mir auch halbwegs transparent: Die Einrichtung der LUKS-Volumes erfolgt "ganz normal" (d.h. mit cryptsetup, LUKS) und das pam-Modul sorgt lediglich beim login dafür, daß die Partition gleich mit eingebunden und entschlüsselt wird (Daten_verschlüsseln). Somit sollte man mit live-CD (oder auch FreeOTFE aus Windows heraus) an die Daten herankommen.
Wenn du Partitionen auf LUKS (und nicht andersrum) brauchst hast du auch gar keine andere (sinnvolle) Wahl, als LVM zu benutzen.
Aber ich kann doch aus mehreren Partitionen einzelne LUKS-Geräte machen, oder ? Die funktionieren dann auch ohne LVM und können über pam eingebunden werden.
(Außer, daß ich bei Schlüsselableitung den header der "Primärpartition" hegen, pflegen und sichern sollte, weil bei Beschädigung auch die anderen Partitionen nicht mehr entschlüsselt werden können.)
Für solche Fälle hat man Backups - die brauchst du ja sowieso da die Festplatte selbst ja auch komplett hopps gehen kann. Header sichern ist so eine Sache - wenn es eine Kopie des Headers gibt, verlierst du die Möglichkeit, alte Keys für ungültig zu erklären, da der Key in der Kopie ja noch gültig ist.
Hast Recht - und wenn ich jeweils den entschlüsselten Inhalt sichere, kann es mir in der Tat egal sein, wenn mal ein LUKS-Gerät nicht mehr will. Dann lege ich ein neues an und kopiere den Inhalt des backup-LUKS-Geräts rein. ☺