Ubuntu-Gnome 16.04 titkosított LVM-re

Mit akarnal titkositani es miert? Mi a celod vele?

Ha a boot-ot is tiskositod, akkor a bootloaderednek tudnia kell a titkositott /boot-bol felolvasnia a kernelt es az initrd-t. A GRUB_ENABLE_CRYPTODISK=y legyen a configban, amikor install-t nyomsz neki.

Amugy a kerdesedre a valasz, hogy nem kell titkositani semmit sem, nemhogy a /boot-ot. :D
(a megadott celjaidbol erre kovetkeztettem :D)

Én is így használom, ahogy te akarod (egész lemezes LUKS LVM). Ha van EFI partíció, akkor nem kell külön /boot, mert az lesz a /boot. Archon én természetesen az Arch Wikit használtam:
https://wiki.archlinux.org/index.php/EFI_System_Partition
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_syst…
https://wiki.archlinux.org/index.php/systemd-boot
https://wiki.archlinux.org/index.php/systemd-boot#Encrypted_Root_Instal…

Ha ezeket végigcsinálod, akkor még GRUB-ot sem kell telepíteni, mivel az EFI partíción az EFI loader lesz a bootmanager. Igaz nekem annyival könnyebb volt, hogy a Win10 EFI partícióját használtam, és a kész bootloaderbe csak bele kellett írnom az Arch-os sort. Nálam úgy van beállítva, hogy alapból az Arch indul, de ha a bootkor F12-vel előhozom az EFI-bootmenüt, akkor kiválaszhatom a Win10-et is (ami sok havonta egyszer történik).

Az is biztos, hogy van eltérés az Ubuntu és az Arch között, mivel az initramfs-t az Archnál mkinitcpio nevű script csinálja (és ennek a conf-jában hook-sokkal kell trükközni), míg az Ubuntunál tuti más megoldás van, de ez egy részműveletet érint csak.

Emlékeim szerint a Kubuntu és a Mint telepítője régen tudta a LUKS LVM-et, de csak úgy, hogy egyetlen logikai kötetre tette a /-t és a /home-ot is, csak a swap-kötet volt külön, és a külön /boot partíción kívül az egész lemezt titkosította, törölve róla minden addigi partíciót, és mint kész megoldás, nem volt testreszabható. Igaz még a 14.04 idejében próbáltam BIOS-MBR-rel, szóval nem tudom, hogy benne van-e még és működik-e UEFI-GPT-vel. Ha tartalmazza a Gubuntu, akkor egész lemezes titkosítás néven keresd a telepítőben a particionálós rész előtt közvetlenül.

Még egy dolog: sok SSD tud alapból AES256-os hardveres titkosítást (alapból be van kapcsolva), amit az UEFI-ben kell beállítani külön jelszóval, így a bootmenü és boot előtt bekér egy jelszót, ha ez nem jó, nem enged tovább. Ez azért jó, mert teljesen transzparens titkosítás, nem kell vele szoftveresen szenvedni, és erre könnyebb titkosítatlan LVM-et telepíteni, plusz így a /boot is titkosítva lesz. Később meg ha eladod az SSD-t vagy másnak odaadod, csak újra kell inicializálni a jelszót, és ez olyan, mintha a lemez teljes területét wipe-oltad volna /dev/random-mal. Igaz ez a fajta titkosítás nem olyan megbízható, mint az opensource LUKS, mert ki tudja, hogy a gyártó hogy implementálta, de még egy esetben sem törték fel.

SSD-nél amúgy sem olyan megbízható a LUKS sem, ha akarsz TRIM-et:
http://asalor.blogspot.co.uk/2011/08/trim-dm-crypt-problems.html

Ha meg nem kapcsolod be a TRIM-et, azzal meg az SSD-t nyírod ki, mivel az egész lemezes titkosítás nem hagy az SSD-n szabad helyet, nem tud a vezérlő a cellafáradással zsonglőrködni, hiszen a vezérlő úgy érzékeli, hogy az egész lemez tele van hasznos adattal. Emiatt mindenképp az SSD saját hardveres megoldását javaslom, ha támogat ilyet.