Re: Debian 10, SSD, full disk encryption
On Sat, 23 May 2020 01:47:12 +0300
Maksim Dmitrichenko <dmitrmax@gmail.com> wrote:
> Привет всем!
>
> На работе подогнали новый лэптоп с SSD. Требованием работодателя
> является работа на полностью шифрованном разделе. Собираюсь ставить
> на него десятый Дебиан. Вопросы:
> 1) Имеет ли смысл на разделе создавать LVM или сразу сделать dm-crypt
> поверх обычного раздела sdaX?
> 2) А что собственно с TRIM? Почитал какой-то flame war, что дескать
> TRIM уменьшает безопасность шифрования. Что, прям так сильно бьет? А
> вообще это реально, чтобы SSD жил долго и счастливо без TRIM?
> 3) Алсо, почитал, что TRIM может выполнять автомагически драйвер FS. А
> может запускаться по расписанию.
>
> Что посоветуют многоуважаемые доны?
>
Я еще заморочился с secure boot, чтобы потенциально нельзя было
заинжектить в initramfs или загрузчик malware, который сохранит
вводимый пароль.
Использую вот такую конфигурацию, загрузчик bootd, который грузит
подписанное ядро с инитрамсф прям из efi раздела.
Для автоматизации использую sicherboot.
nvme0n1 259:0 0 477G 0 disk
├─nvme0n1p1 259:1 0 256M 0 part /boot/efi
└─nvme0n1p2 259:2 0 476,7G 0 part
└─crypt 253:0 0 476,7G 0 crypt
├─vgname-root 253:1 0 16G 0 lvm [SWAP]
--
Best regards,
Alexander Gerasiov
Contacts:
e-mail: a@gerasiov.net WWW: https://gerasiov.net TG/Skype: gerasiov
PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Reply to: