Я смотрел на системное шифрование с помощью ArchLinux, и я думаю, что я понял это, но у меня есть вопрос по поводу раздела /boot. После загрузки системы можно ли размонтировать раздел /boot и позволить системе продолжить работу?
Я думал об установке / загрузке с USB-накопителя, поскольку его нельзя оставить зашифрованным, а затем загрузить с USB-накопителя, который загрузит зашифрованный жесткий диск. Тогда я могу вынуть USB-ключ и просто использовать систему как обычно.
Я хочу сделать это потому, что если злоумышленнику удалось получить физический доступ к машине, он мог бы изменить раздел /boot с помощью регистратора нажатий клавиш и украсть ключ, а если у него уже была копия зашифрованных данных, он мог бы просто сидеть сложа руки и ждать ключа. Я думаю, я мог бы придумать систему проверки того, что загрузка не затрагивалась при каждом запуске.
Это было сделано раньше? Любое руководство для его реализации самостоятельно?