我读了很多有关 Linux 加密技术的文章,其中一种技术就是将 /boot 目录与根目录放在同一个分区上,从而对其进行加密。我记得在某处读到过,如果加密了 /boot,则每次系统更新时都需要修改 GRUB 或其他东西。我记不清在哪里读到的,所以不能 100% 确定这是不是真的。加密 /boot 还有其他缺点吗?
答案1
目前,至少在 OpenSuse Tumbleweed 上,您需要输入两次 LUKS 密码:一次用于解密 /boot,一次用于解密其他分区(假设您对所有分区使用相同的密码)。
在早期解锁中,Grub2 还默认使用美式英语键盘布局,因此您无法输入 Dvorak 或德语或任何您常用的布局。自定义该布局似乎需要一些工作。
使用 Pop_OS 上的 systemd-boot,您只需输入一次带有加密 /boot 的 LUKS 密码。