这是一个创建于 2099 天前的主题,其中的信息可能已经有所发展或是发生改变。
我试过把 /boot 分区放在加密卷里,但失败了。
 |
1
chinvo 2020 年 5 月 5 日 via iPhone
加密了 grub 怎么引导
|
 |
2
felix021 2020 年 5 月 5 日 via Android
需要硬件支持(例如 tpm)
|
 |
3
vk42 2020 年 5 月 5 日 via Android
可以,但是限制比较多,参考 https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot
不知道你为啥要这么做,折腾玩么 |
|
4
chinvo 2020 年 5 月 5 日 via iPhone
https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html
调查了一下还是可以的,就是每次引导的时候输入密码或者提供密钥 |
|
6
chinvo 2020 年 5 月 5 日
|
|
7
chinvo 2020 年 5 月 5 日  1
如果要确保引导和系统可信, 可以考虑 RoT 解决方案或者游戏主机的方案
RoT 就不多介绍了, 游戏主机则是从 boot0 开始定制, 每一层都对下一层做签名检查和加解密 对应到 PC 上就是相当于开启 Secure Boot 然后只信任自己的根证书 |
|
8
felix021 2020 年 5 月 5 日 via Android
@chinvo 我 windows 一直在用,bitlocker 加密所有磁盘分区,但因为台式机没有 tpm,启动分区只能不加密,也是开机输密码
|
 |
9
sampeng 2020 年 5 月 5 日 via iPhone
所有没硬件加密的。直接挂硬盘。
|
 |
10
hanguofu 2020 年 5 月 6 日 via Android
顺便问问,linux 对根文件系统加密的常用方案?
|
|
12
felix021 2020 年 5 月 6 日
|
 |
16
ungrown 2020 年 5 月 12 日
@felix021 #12 巨硬的全盘加密不包含“系统区”(巨硬喜欢把负责引导工作的分区称为“系统分区”,而把操作系统本身所在的分区反而称作“引导分区”)。
反正他们就这么设计的。 |
|
17
felix021 2020 年 5 月 12 日
|
|
18
ungrown 2020 年 5 月 12 日
@ungrown #16
微软的文档,尤其是关于引导、镜像、恢复等等主题的文档里,把引导分区称为“系统分区”(我估计这里的“系统”指的是“引导系统”),把操作系统分区称为“引导分区”(我估计是指“被引导”)。 |
Select Language