При современных способах реализации шифрования на томах LVM невозможно зашифровать /boot . В противном случае было бы невозможно загрузить операционную систему, если аппаратное обеспечение на материнской плате не поддерживает ее. Я не видел и не слышал об оборудовании, которое может сделать это до сих пор, но оно может существовать.
Из Archwiki: В большинстве установок выделенный раздел / загрузочный раздел не требуется, но он находится в сложной конфигурации, подобной этой, потому что GRUB должен иметь возможность читать ядро, initramfs, его собственные файлы конфигурации и т.д. Из / boot каталог. Поскольку GRUB сам не знает, как разблокировать раздел LUKS (это работа ядра), / boot не должен быть зашифрован и, следовательно, должен быть отдельным разделом диска.
Это означает, что для загрузки операционной системы загрузчик должен иметь возможность считывать собственные параметры конфигурации, которые он находит в /boot , и не может этого делать, если том зашифрован. Это верно независимо от того, какую процедуру / метод шифрования вы используете.
Это слабость? Да. Можно установить какой-то перехватчик паролей в /boot , но зашифрованный LVM не был разработан, чтобы защитить вас от этого. Если вы настолько параноик, то кто-то, получив физический доступ к вашей машине или root доступ к вашей системе во время ее работы, заставит вас предположить, что вы были скомпрометированы.
Это может быть неправильным выводом от меня, но я думаю, что шифрование на разделах LVM выполняется в случае, если вы потеряли свой компьютер или он был украден. В этом случае им придется каким-то образом получить ваш пароль, прежде чем они смогут получить доступ к содержимому диска или взломать ключ вручную, что невозможно, если у человека нет неограниченного доступа к ресурсам.
