Im Wiki dieser Seite ist bis jetzt nur die Option der Systemverschlüsselung exklusive /boot aufgezeigt.
Ich hatte vor ca. einem eine Anleitung zur Verschlüsselung inklusive /boot gefunden. Aus Neugier Einfach mal eine VM entsprechend verschlüsselt. Es funktioniert immer noch ohne Probleme.
Man muss das Passwort zum entschlüsseln der Festplatte zwei mal eingeben. Das erste mal, damit GRUB die Festplatte entschlüsseln kann und somit Kernel + Ramdisk laden kann und das zweite Mal, wenn der Kernel auf die Festplatte zugreifen möchte.
Das kann man umgehen, in dem man (nach Anleitung) eine Keyfile auf der verschlüsselten Festplatte liegen hat (wird dann auch in die Ramdisk übernommen), mit der das System sich dann selbst entschlüsselt.
Zur Sicherheit wurde folgendes geschrieben:
Security considerations
While the computer is off, the keyfile is stored inside the encrypted drive, so it is secure. When the computer is on, however, the keyfile is unencrypted, with a copy on the ramdisk. So, you should probably make sure only root can access these files:
1 2 chmod 000 /crypto_keyfile.bin # actually, even root doesn't need to access this chmod -R g-rwx,o-rwx /boot # just to be safeThe keyfile will probably also be retained in memory, but so is the LUKS master key. If the attacker has enough access to your system for that to be a problem, encryption is moot. So long as there are no copies of the keyfile anywhere else, you should be fine. In other words, don’t back it up or reuse it elsewhere.
Kann einer etwas bezüglich der Sicherheit sagen?
Hier sind noch die Quellen:
http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/