如果我安装 Debian,我可以选择使用加密的 LVM 设置磁盘。但这究竟是为了什么呢?是只加密分区表,还是所有分区上的所有文件都加密?
答案1
当您使用此选项时,安装程序会创建几个分区: 一个/boot分区,用于存储内核和引导加载程序;根据您的系统,特殊固件(例如 EFI)分区;以及包含单个 LVM 物理卷的加密分区。
在加密的 LVM 物理卷内,有一个根分区,通常还有一个交换分区,以及您想要的任何其他分区。所有这些分区都已加密,但/boot和/boot/efi分区未加密。
永远不可能加密 EFI 分区,因为固件不知道如何在这种状态下启动它。这是可能的,但不常见,加密/boot分区; grub 需要特殊配置才能执行此操作,Debian 默认情况下不实现该配置。